Проблем с Rootkit?

draco_volans · Юли 8, 2009

Здравейте!

Мисля, че си имам малко гадно rootkit-че.

Предистория:

Вчера от сутринта avast! засече 4 атаки от DCOM 94.231..., DCOM 94.137... и още 2 от същия Exploit, но винаги с различно IP. След това погледнах в Windows Secirity Center и видях, че защитната стена е изключена, въпреки че в основния панел на Windows Security Center показваше включено положение. В Exceptions се беше намърдал DCOM (135). Махнах го от там и включих отново стената. Това доведе до спиране на атаките от DCOM-гадинката. Сканирах с avast!, MBAM и SAS, но те не откриха нищо.

Днеска включих компютъра и веднага след зареждане на OS получих атака от посочената гадинка. Видях че стената пак е изключена (по същия начин, който описах) и отново имам в Exceptions DCOM (135)... Тогава направих грешката да рестартирам компа (още не ми се вярвашв, че това е Rootkit) и ми направи впечатление, че много бързо излезе от OS и след това зареди... Стената отново беше изключена и всичко пак беше същото. Забелязвам, че и интернета ми периодично се изключва и включва...

След това направих сканиране с Gmer, HijackThis (смених му името) и ESET Sysinspector. Прилагам логовете по-долу.

Мисля, че Gmer хвана гадинка, но не съм напълно сигурен, дали е само тя... Сканирането с MBAM, SAS и avast! не показа нищо, отново...

МОЛЯ ЗА ПОМОЩ!

Gmer:

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-08 11:01:21
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.15 ----

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xBA7832A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xBA78E910]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 89941F70

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- Modules - GMER 1.0.15 ----

Module _________ BA6E5000-BA6FD000 (98304 bytes)

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] wcniouhen <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:01:08, on 7/8/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Privacyware\Dynamic Security Agent\DSA.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\Datecs\Flex2K.exe
C:\Program Files\Privacyware\Dynamic Security Agent\pfsvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\Programs_Fun\Програми\Support\Process Explorer\procexp.exe
C:\Program Files\Flock\flock.exe
C:\WINDOWS\system32\notepad.exe
D:\Programs_Fun\Програми\Антивирусни\HJ\prog.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.bg/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\Programs_Fun\Програми\Музика и филми\1 Video Convertor\1 Video Converter\App\msdxm.ocx
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Dynamic Security Agent] C:\Program Files\Privacyware\Dynamic Security Agent\DSA.exe
O4 - Global Startup: FlexType 2K.lnk = ?
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Privacyware network service (PFNet) - Privacyware/PWI, Inc. - C:\Program Files\Privacyware\Dynamic Security Agent\pfsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5807 bytes

B-boy/StyLe/ · Юли 8, 2009

Я пусни един лог от RSIT...

draco_volans · Юли 8, 2009

Ето информацията от log.txt:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrator at 2009-07-08 13:56:51
Microsoft Windows XP Professional Service Pack 2
System drive C: has 35 GB (70%) free of 50 GB
Total RAM: 1535 MB (57% free)

HijackThis download failed

======Scheduled tasks folder======

C:\WINDOWS\tasks\SmartDefrag.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}]
IE 4.x-6.x BHO for Download Master - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll [2009-03-06 157696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-06-22 41368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-06-22 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - DM Bar - C:\Program Files\Download Master\dmbar.dll [2007-11-26 180224]
{8E718888-423F-11D2-876E-00A0C9082467} - @msdxmLC.dll,-1@1033,&Radio - D:\Programs_Fun\Програми\Музика и филми\1 Video Convertor\1 Video Converter\App\msdxm.ocx [2009-07-02 844048]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"=C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe [2006-09-25 90112]
"SoundMAXPnP"=C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe [2004-10-14 1388544]
"SoundMAX"=C:\Program Files\Analog Devices\SoundMAX\Smax4.exe [2004-08-06 860160]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]
"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-02-05 81000]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-06-22 148888]
""= []
"Dynamic Security Agent"=C:\Program Files\Privacyware\Dynamic Security Agent\DSA.exe [2007-11-22 2376968]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Probe]
C:\Program Files\ASUS\Asus Probe\AsusProb.exe [2002-12-06 617984]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
C:\Program Files\D-Tools\daemon.exe [2004-08-22 81920]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSConfig]
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe [2004-08-04 158208]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Program Files\Messenger\msmsgs.exe [2004-08-04 1667584]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Program Files\Skype\Phone\Skype.exe [2008-11-07 21633320]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Administrator.VESO-03301D7BB0^Start Menu^Programs^Startup^OpenOffice.org 2.3.lnk]
C:\PROGRA~1\OPENOF~1.3\program\QUICKS~1.EXE [2007-09-11 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ThreatFire"=2
"wuauserv"=2
"CiSvc"=3
"Prime95 Service"=2
"PCToolsFirewallPlus"=2
"JavaQuickStarterService"=2

C:\Documents and Settings\All Users.WINDOWS\Start Menu\Programs\Startup
FlexType 2K.lnk - C:\WINDOWS\Datecs\Flex2K.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2006-12-17 110592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=36
"NoDriveAutoRun"=FFFFFFFF

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE"="C:\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE:*:Enabled:SUPERAntiSpyware Free Edition"
"C:\Program Files\Alwil Software\Avast4\ashAvast.exe"="C:\Program Files\Alwil Software\Avast4\ashAvast.exe:*:Enabled:avast! Antivirus"
"C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"="C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe:*:Enabled:Malwarebytes' Anti-Malware"
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:uTorrent.exe"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======File associations======

.txt - open - notepad.exe %1

======List of files/folders created in the last 1 months======

2009-07-08 13:56:54 ----D---- C:\Program Files\trend micro
2009-07-08 13:56:51 ----D---- C:\rsit
2009-07-07 17:10:15 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Privacyware
2009-07-07 17:10:14 ----D---- C:\Program Files\Privacyware
2009-07-06 03:39:03 ----RASHD---- C:\autorun.inf
2009-07-04 13:18:56 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\Flock
2009-07-04 13:18:31 ----D---- C:\Program Files\Flock
2009-07-02 15:48:01 ----A---- C:\WINDOWS\#1 Video Converter.INI
2009-07-01 12:53:53 ----D---- C:\Program Files\AEDiction
2009-06-28 21:05:31 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\Orca Profiles
2009-06-22 16:44:44 ----A---- C:\WINDOWS\system32\javaws.exe
2009-06-22 16:44:44 ----A---- C:\WINDOWS\system32\javaw.exe
2009-06-22 16:44:44 ----A---- C:\WINDOWS\system32\java.exe
2009-06-22 16:44:35 ----D---- C:\Program Files\Java
2009-06-22 16:14:58 ----D---- C:\WINDOWS\WBEM
2009-06-22 16:14:42 ----HDC---- C:\WINDOWS\ie8
2009-06-21 13:56:38 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\IObit
2009-06-21 13:56:37 ----D---- C:\Program Files\IObit
2009-06-20 11:57:47 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\VSRevoGroup
2009-06-20 00:57:28 ----D---- C:\Program Files\BACL
2009-06-14 18:40:33 ----A---- C:\WINDOWS\system32\MFC71.dll
2009-06-14 18:40:33 ----A---- C:\WINDOWS\system32\aswBoot.exe
2009-06-14 18:40:31 ----D---- C:\Program Files\Alwil Software

======List of files/folders modified in the last 1 months======

2009-07-08 13:56:54 ----D---- C:\Program Files
2009-07-08 11:06:15 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-08 10:28:18 ----D---- C:\WINDOWS\system32\drivers
2009-07-08 10:26:28 ----D---- C:\WINDOWS\Temp
2009-07-08 10:23:55 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-08 10:14:45 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\uTorrent
2009-07-08 10:04:09 ----D---- C:\WINDOWS
2009-07-08 03:15:25 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\AIMP
2009-07-08 03:04:01 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\Skype
2009-07-08 03:03:47 ----D---- C:\Program Files\nLite
2009-07-08 03:01:05 ----D---- C:\Program Files\Mozilla Firefox
2009-07-08 00:51:04 ----A---- C:\WINDOWS\wininit.ini
2009-07-07 23:54:33 ----D---- C:\Program Files\PC Dict
2009-07-07 23:49:50 ----SH---- C:\boot.ini
2009-07-07 23:49:50 ----A---- C:\WINDOWS\win.ini
2009-07-07 23:49:50 ----A---- C:\WINDOWS\system.ini
2009-07-07 18:13:22 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\skypePM
2009-07-07 18:13:03 ----D---- C:\WINDOWS\Prefetch
2009-07-07 18:12:20 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\OpenOffice.org2
2009-07-07 18:09:01 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2009-07-07 17:10:15 ----SHD---- C:\WINDOWS\Installer
2009-07-07 17:10:14 ----D---- C:\WINDOWS\system32
2009-07-06 15:25:14 ----D---- C:\Downloads
2009-07-05 02:56:18 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\ImgBurn
2009-07-04 17:40:49 ----A---- C:\WINDOWS\NeroDigital.ini
2009-07-03 18:00:11 ----D---- C:\Program Files\The KMPlayer
2009-07-03 00:06:13 ----SD---- C:\WINDOWS\Tasks
2009-07-01 12:53:53 ----RSD---- C:\WINDOWS\Fonts
2009-06-30 19:08:47 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\Thinstall
2009-06-25 12:34:46 ----D---- C:\Program Files\SUPERAntiSpyware
2009-06-22 16:44:37 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-06-22 16:17:21 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-06-22 16:17:21 ----HD---- C:\WINDOWS\inf
2009-06-22 16:17:21 ----D---- C:\WINDOWS\Help
2009-06-22 16:17:21 ----D---- C:\Program Files\Internet Explorer
2009-06-22 16:14:58 ----D---- C:\WINDOWS\system32\en-us
2009-06-22 16:14:55 ----D---- C:\WINDOWS\Media
2009-06-22 15:50:53 ----D---- C:\WINDOWS\system32\config
2009-06-22 15:50:51 ----D---- C:\WINDOWS\security
2009-06-22 15:50:48 ----D---- C:\WINDOWS\system32\wbem
2009-06-22 15:50:48 ----D---- C:\WINDOWS\Registration
2009-06-22 15:20:31 ----RAH---- C:\WINDOWS\system32\cdplayer.exe.manifest
2009-06-17 22:44:32 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-06-15 03:16:21 ----A---- C:\WINDOWS\system32\winsock.dll
2009-06-14 18:31:19 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Avira

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-02-05 26944]
R1 AmdK8;AMD Processor Driver; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2005-03-09 36352]
R1 aslm75;aslm75; \??\C:\WINDOWS\system32\drivers\aslm75.sys []
R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-02-05 114768]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2009-02-05 51376]
R1 pctgntdi;pctgntdi; \??\C:\WINDOWS\system32\drivers\pctgntdi.sys []
R1 pwipf6;pwipf6; C:\WINDOWS\system32\drivers\pwipf6.sys [2007-11-22 87304]
R1 SASDIFSV;SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys []
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-02-05 94032]
R2 PCTAppEvent;PCTAppEvent Driver; \??\C:\WINDOWS\system32\drivers\PCTAppEvent.sys []
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2004-08-13 129408]
R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2009-02-05 23152]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2006-12-17 1918464]
R3 esihdrv;esihdrv; \??\C:\DOCUME~1\ADMINI~1.VES\LOCALS~1\Temp\esihdrv.sys []
R3 rtl8139;Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-04 20992]
R3 SASENUM;SASENUM; \??\C:\Program Files\SUPERAntiSpyware\SASENUM.SYS []
R3 senfilt;senfilt; C:\WINDOWS\system32\drivers\senfilt.sys [2004-04-26 381056]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2005-02-01 260288]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2 Enabled Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S1 mchInjDrv;madCodeHook DLL injection driver; \??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys []
S3 Ad-Watch Connect Filter;Ad-Watch Connect Kernel Filter; \??\C:\WINDOWS\system32\drivers\NSDriver.sys []
S3 aujasnkj;aujasnkj; \??\C:\DOCUME~1\ADMINI~1.VES\LOCALS~1\Temp\aujasnkj.sys []
S3 cpuz130;cpuz130; \??\C:\DOCUME~1\ADMINI~1.VES\LOCALS~1\Temp\cpuz130\cpuz_x32.sys []
S3 ENTECH;ENTECH; \??\C:\WINDOWS\system32\DRIVERS\ENTECH.sys []
S3 MidiSyn;MidiSyn; C:\WINDOWS\system32\drivers\MidiSyn.sys [2004-09-14 88960]
S3 SFilter;PCTools Driver; C:\WINDOWS\system32\DRIVERS\pctfw.sys []
S3 usbscan;USB Scanner Driver; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;USB Mass Storage Driver; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 WS2IFSL;Windows Socket 2.0 Non-IFS Service Provider Support Environment; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-23 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aswUpdSv;avast! iAVS4 Control Service; C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [2009-02-05 18752]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-12-17 434176]
R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast4\ashServ.exe [2009-02-05 138680]
R2 PFNet;Privacyware network service; C:\Program Files\Privacyware\Dynamic Security Agent\pfsvc.exe [2007-11-22 349448]
R2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe [2002-09-20 45056]
R3 avast! Mail Scanner;avast! Mail Scanner; C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe [2009-02-05 254040]
R3 avast! Web Scanner;avast! Web Scanner; C:\Program Files\Alwil Software\Avast4\ashWebSv.exe [2009-02-05 352920]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2006-12-20 520192]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256]
S4 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-06-22 152984]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880]
S4 PCToolsFirewallPlus;PC Tools Firewall Plus; C:\Program Files\PC Tools Firewall Plus\FWService.exe []
S4 Prime95 Service;Prime95 Service; C:\DOCUME~1\ADMINI~1.VES\LOCALS~1\Temp\Rar$EX87.500\prime95.exe []

-----------------EOF-----------------

B-boy/StyLe/ · Юли 8, 2009

Хммм...имаш излишни неща в лога...но проблема не се показва поне в лога на RSIT...

Да пробваме директна атака:

Изтегли OTM.exe

Стартирай я и copy/paste под колонката "Paste instructions for items to be Moved" въведи това:

:processes
explorer.exe
:services
wcniouhen
:Commands
[purity]
[emptytemp]
[start explorer]

Натисни бутона MoveIt!

Ще се създаде лог в зелената колонка. Копирай го в следващия си пост.

Трябва да се получи нещо от сорта:

http://pic-bg.net/files/x8jtln6g6pvnt924bjvx294ip408pzoe7ig00r8k.jpg

И май гостът ти е Conficker/Kido/Downloadup...

draco_volans · Юли 8, 2009

Направих каквото ми каза, но като натиснах Moveit, започна бързо да се пълни бара (няколко пъти, след което ми поиска да рестартирам. Направих го и когато се зареди Windows ми се показа лога:

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========

Service\Driver wcniouhen deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 232 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Administrator.VESO-03301D7BB0
->Temp folder emptied: 1471206 bytes
File delete failed. C:\Documents and Settings\Administrator.VESO-03301D7BB0\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 6764067 bytes
->Java cache emptied: 13425503 bytes
->FireFox cache emptied: 32697864 bytes
->Opera cache emptied: 27501077 bytes

User: All Users

User: All Users.WINDOWS

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService.NT AUTHORITY
File delete failed. C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes

User: NetworkService.NT AUTHORITY
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2142714 bytes
%systemroot%\System32 .tmp files removed: 2577 bytes
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_590.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 322310 bytes
RecycleBin emptied: 220672 bytes

Total Files Cleaned = 80.88 mb

OTM by OldTimer - Version 3.0.0.4 log created on 07082009_143838

Files moved on Reboot...
File C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!
File C:\WINDOWS\temp\Perflib_Perfdata_590.dat not found!

Registry entries deleted on Reboot...

Защитната стена пак беше спряна и avas! ми согнализира за нова атака, подобна на посочените... Май нищо не стана...? Тоя Конфикър (ако е това) си е бая гаден... Чел съм за него... Май няма спасение

B-boy/StyLe/ · Юли 8, 2009

Направих каквото ми каза, но като натиснах Moveit, започна бързо да се пълни бара (няколко пъти, след което ми поиска да рестартирам. Направих го и когато се зареди Windows ми се показа лога:

Защитната стена пак беше спряна и avas! ми согнализира за нова атака, подобна на посочените... Май нищо не стана...? Тоя Конфикър (ако е това) си е бая гаден... Чел съм за него... Май няма спасение

Разбира се, че има спасение...Я провери отново с GMER.

1. Спри временно защитата в реално време на антивирусната си програма.

2. Изтегли ComboFix и я запази на десктопа.

3. Сега Start Menu => Run => въведи командата:

"%userprofile%\desktop\combofix.exe" /killall

4. Публикувай съдържанието на лог файла в следващия си пост.

И няма да е зле да инсталираш всички кръпки за Windows (включително и Service Pack 3).

Интрументи за премахването на Conficker

Removal Tools

1. Microsoft Malicious Software Removal Tool

2. EConfickerRemover

3. bdtools

Добре е да се инсталират и следните актуализации:

- MS09-001

- MS08-068

- MS08-067

draco_volans · Юли 8, 2009

Кое от всичките Tool-чета да използвам...? ... Или което хване декиш...?

Обновленията, след Tool-четата ли да ги сложа?

B-boy/StyLe/ · Юли 8, 2009

Кое от всичките Tool-чета да използвам...? ... Или което хване декиш...?
Обновленията, след Tool-четата ли да ги сложа?

Използвай всички тулчета срещу Conficker

След това вече сканирай с Combofix и публикувай лог файла.

След като те почистим инсталирай SP3 + останалите 3 кръпки посочени по-надолу в предишния ми пост.

Тази последователност трябва да спазваш по време на процедурата.

Edit : малките тулчета също може би ще създадат лог файлове. Публикувай ги и тях.

Gmer мрънка ли още ?

nikikom · Юли 8, 2009

Отвори си защитната стена и отиди на Exceptions. Премахни реда който се появява и излез от стената.

Отиди на Start - Run - gpedit.msc

В ляво Computer Configuration - Administrative Templates - Network - Windows Firewall - Standart Profile.

Два пъти върху Protect all network connections и избираш Enabled.

Два пъти върху Define program exeptions и избираш Disabled.

Два пъти върху Allow local program exeptions и избираш Disabled.

http://store.picbg.net/pubpic/C1/24/d9f63d1c3981c124.JPG

Така ще забраниш промени в защитната стена.

http://store.picbg.net/pubpic/5F/C7/e25d101bc35a5fc7.JPG

http://store.picbg.net/pubpic/CF/83/547505628e18cf83.JPG

Свали Windows Worms Doors Cleaner, затвори всички порт-ове и рестартирай. Трябва да изглежда както е на снимката ми

http://store.picbg.net/pubpic/AC/FC/92fb78c0725facfc.JPG

Виж после дали защитната ти стена е спряна и дали има нов ред в Exceptions.

Успех

draco_volans · Юли 8, 2009

Съжалявам, че позакъснях да докладвам, но не съм си седял ей така...

Здрав..., а болен, както се казва. Направих снимка на съобщението на avast! при атака:

http://i30.tinypic.com/140jlnn.jpg

Това съобщение спря да се появява, когато след един от многобройните рестарти ми се смени IP-то (динамично е). Проведох сканирания с antiworm програмките... По точно с 2 от тях (на Bit Defender и тази на M$). EConficer Remover, при стартиране ми даваше черен екран и рестваше компа. Нито една от 2-те програми, с които сканирах не детектира глист или каквото и да било (с тази на M$ направих Full scan).. Ъпдейтите, към които ме насочи не съм ги инсталирал. Смятам, че първо трябва да се почисти (на бременна жена, спирала да слагам, с извинение). След това си ъпдейтнах MBAM и SAS (повторно) и проведох пълно сканиране под Safe Mode. MBAM не откри нищо. SAS напипа някакъв Trojan. Agent/Gen-PEC, който преди това, при сканирането в нормален режим не детектира. Spybot S&D намери някакъв Platinum Advertiser. Премахнах всичко, което се откри. Преди това спрях и изчистих System Restore. После настроих avast! да направи сканиране при стартиране. Нищо не откри, естествено. Пробно направих повторно сканиране с Gmer, който май единствен засича опасност. Бързо и пълно сканиране (лога от бързото е в архивчето). Сигнализира ми за промени направени от rootkit. Докато сканираше пълно, направих шот на това, което е намерил Gmer:

http://i28.tinypic.com/sde9n5.jpg

Просто не знам, ако тия неща не са Rootkit... Вероятно не някой много агресивен, защото ми дава да правя каквото поискам на компа. Щом изтеглих ъпдейтите и програмките без да ми пречи... Доколкото знам Confiker спира ъпдейтите от MS и на антивирусните и т.н.

След това влязох в нормален режим и видях, че гадината DCOM (135), пак се е добавила в Exceptions на стената, която този път не се беше изключила. Вероятно, защото бях дръпнал кабела на нета и това дето я командори не можеше да я ping-не. Плюс това, сигурно още ми търси IP-то. Междувременно, ъпдейтите на Win се бяха включили автоматично и понеже бях излязал да дръпна един фас (тютюн), не смогнах да ги спра... Eстествено M$ не пропуснах да ми пратят звездата на смъртта..., с която трябваше да се справя... Стриктно следвайки "добронамерените" им инструкции.

После, приложих съветите nikikom. Направих настройките на стената, както той посочи. Когато рестартирах, обаче DCOM(135) ме очакваше, като само той беше активен от Exceptions. Така ставаше, дори когато маркирах No Exception. Иначе вси други си спитаха. После приложих програмката, която nikikom ми предложи:

http://i32.tinypic.com/34999u9.jpg

Така направих настройките и програмката ми каза, че всичко е 6. След рестарт, обаче, DCOM(135) си се мъдреше на старото място. След това, направих повторно сканиране с HiJackThis и останалите прогрмки, предложени ми от B-boy, включително и с ComboFix. От там с прискърбие разбрах, че май и моя Win е самоделка, защото май няма Recovery Console (опцията за поправки от диска). Изобщо..., черен ден... Та до тука стигнах и повече не се сещам какво да правя... No Esc! Даже и да оправим положението с гадинакта, Win-a ще е съществено състарен и допълнително напълнен с ненужни записи, водещи към неизбежния преинстал. Все пак, ако има нови предложения, ще бъда благодарен. Споре мен гадиката е Rootkit, но както ме посъветвате, тъй ще сторя. Това е за сега...

Edit: Забравих да питам... Ами ако спра/изтрия нещата маркирани от GMER, няма ли начин да избегна синия (или с друг цвят) екран?

mihnev_sz · Юли 8, 2009

Направи едно пълно сканиране с AVP Tool на Kaspersky lab без инсталация : http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

Сложи всички отметки/

http://www.ilsoftware.it/public/shots/avptool_1108_03.gif

Night_Raven · Юли 8, 2009

Дали е самоделка не знам, но гледам останки от различни програми за сигурност и FlexType за капак.

Пейстни следния текст в нов текстов документ и го запази на десктопа под името CFScript (или CFScript.txt, ако работиш с показани разширения):

KillAll:

File::
c:\windows\system32\xzxcltq.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wcniouhen]

NetSvc::
wcniouhen

Driver::
wcniouhen

Провлачи текстовия файл върху ComboFix, както е показано тук:

http://www.softvisia.com/users/Night_Raven/Security/cfsdnd2.gif

Внимание: това са инструкции за конкретния потребител. Ако сте друг потребител със същия или подобен проблем, НЕ прилагайте текущите инструкции в действие.

След това дай новия лог.

B-boy/StyLe/ · Юли 8, 2009

Ъпдейтите, към които ме насочи не съм ги инсталирал. Смятам, че първо трябва да се почисти (на бременна жена, спирала да слагам, с извинение).

Добре, а аз какво съм писал...?

След като те почистим инсталирай SP3 + останалите 3 кръпки посочени по-надолу в предишния ми пост.

Естествено, че накрая ще ги инсталираш...

Otmoveit е премахнала услугата:

========== SERVICES/DRIVERS ==========

Service\Driver wcniouhen deleted successfully.

Тогава нямах лог от Cоmbofix и затова нямаше какво повече да те посъветвам.

След скрипта на Night_raven би трябвало проблема с rootkit-a да си замине.

И за финал

Отвори Notepad и с copy/paste въведи:

Windows Registry Editor Version 5.00

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"=-

Запази файла с име fix.reg

Файла ще изглежда така - http://users.telenet.be/bluepatchy/miekiemoes/images/reg.gif

Стартирай го и ззбери Yes за да влезнат промените в сила.

Maniac · Юли 8, 2009

Night_Raven, вече е направено:

========== SERVICES/DRIVERS ==========

Service\Driver wcniouhen deleted successfully.

Night_Raven · Юли 8, 2009

Тогава защо има 1000 лога в архива?

Проблем с Rootkit?

Препоръчан пост

Link to comment

Сподели другаде

ТОП потребители в тази тема

Популярни дни

ТОП потребители в тази тема

Популярни дни

Публикувани изображения

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Join the conversation