Jump to content

Препоръчан пост

Здравейте!

Мисля, че си имам малко гадно rootkit-че.

Предистория:

Вчера от сутринта avast! засече 4 атаки от DCOM 94.231..., DCOM 94.137... и още 2 от същия Exploit, но винаги с различно IP. След това погледнах в Windows Secirity Center и видях, че защитната стена е изключена, въпреки че в основния панел на Windows Security Center показваше включено положение. В Exceptions се беше намърдал DCOM (135). Махнах го от там и включих отново стената. Това доведе до спиране на атаките от DCOM-гадинката. Сканирах с avast!, MBAM и SAS, но те не откриха нищо.

 

Днеска включих компютъра и веднага след зареждане на OS получих атака от посочената гадинка. Видях че стената пак е изключена (по същия начин, който описах) и отново имам в Exceptions DCOM (135)... Тогава направих грешката да рестартирам компа (още не ми се вярвашв, че това е Rootkit) и ми направи впечатление, че много бързо излезе от OS и след това зареди... Стената отново беше изключена и всичко пак беше същото. Забелязвам, че и интернета ми периодично се изключва и включва...

 

След това направих сканиране с Gmer, HijackThis (смених му името) и ESET Sysinspector. Прилагам логовете по-долу.

Мисля, че Gmer хвана гадинка, но не съм напълно сигурен, дали е само тя... Сканирането с MBAM, SAS и avast! не показа нищо, отново...

 

МОЛЯ ЗА ПОМОЩ!

 

Gmer:

GMER 1.0.15.14972 - http://www.gmer.net

Rootkit scan 2009-07-08 11:01:21

Windows 5.1.2600 Service Pack 2

 

 

---- System - GMER 1.0.15 ----

 

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xBA7832A8]

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xBA78E910]

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 89941F70

 

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Tcp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Udp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

 

---- Modules - GMER 1.0.15 ----

 

Module _________ BA6E5000-BA6FD000 (98304 bytes)

 

---- Services - GMER 1.0.15 ----

 

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] wcniouhen <-- ROOTKIT !!!

 

---- EOF - GMER 1.0.15 ----

 

HiJackThis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:01:08, on 7/8/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Privacyware\Dynamic Security Agent\DSA.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE

C:\WINDOWS\Datecs\Flex2K.exe

C:\Program Files\Privacyware\Dynamic Security Agent\pfsvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

D:\Programs_Fun\Програми\Support\Process Explorer\procexp.exe

C:\Program Files\Flock\flock.exe

C:\WINDOWS\system32\notepad.exe

D:\Programs_Fun\Програми\Антивирусни\HJ\prog.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.bg/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\Programs_Fun\Програми\Музика и филми\1 Video Convertor\1 Video Converter\App\msdxm.ocx

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Dynamic Security Agent] C:\Program Files\Privacyware\Dynamic Security Agent\DSA.exe

O4 - Global Startup: FlexType 2K.lnk = ?

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Privacyware network service (PFNet) - Privacyware/PWI, Inc. - C:\Program Files\Privacyware\Dynamic Security Agent\pfsvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

--

End of file - 5807 bytes

Link to comment
Сподели другаде

  • Отговори 46
  • Създадена
  • Последен отговор

ТОП потребители в тази тема

ТОП потребители в тази тема

Публикувани изображения

Ето информацията от log.txt:

 

Logfile of random's system information tool 1.06 (written by random/random)

Run by Administrator at 2009-07-08 13:56:51

Microsoft Windows XP Professional Service Pack 2

System drive C: has 35 GB (70%) free of 50 GB

Total RAM: 1535 MB (57% free)

 

HijackThis download failed

 

======Scheduled tasks folder======

 

C:\WINDOWS\tasks\SmartDefrag.job

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

Adobe PDF Reader Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]

Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}]

IE 4.x-6.x BHO for Download Master - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll [2009-03-06 157696]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-06-22 41368]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-06-22 73728]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - DM Bar - C:\Program Files\Download Master\dmbar.dll [2007-11-26 180224]

{8E718888-423F-11D2-876E-00A0C9082467} - @msdxmLC.dll,-1@1033,&Radio - D:\Programs_Fun\Програми\Музика и филми\1 Video Convertor\1 Video Converter\App\msdxm.ocx [2009-07-02 844048]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"ATICCC"=C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe [2006-09-25 90112]

"SoundMAXPnP"=C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe [2004-10-14 1388544]

"SoundMAX"=C:\Program Files\Analog Devices\SoundMAX\Smax4.exe [2004-08-06 860160]

"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]

"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-02-05 81000]

"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-06-22 148888]

""= []

"Dynamic Security Agent"=C:\Program Files\Privacyware\Dynamic Security Agent\DSA.exe [2007-11-22 2376968]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Probe]

C:\Program Files\ASUS\Asus Probe\AsusProb.exe [2002-12-06 617984]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]

C:\Program Files\D-Tools\daemon.exe [2004-08-22 81920]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSConfig]

C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe [2004-08-04 158208]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

C:\Program Files\Messenger\msmsgs.exe [2004-08-04 1667584]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

C:\Program Files\Skype\Phone\Skype.exe [2008-11-07 21633320]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Administrator.VESO-03301D7BB0^Start Menu^Programs^Startup^OpenOffice.org 2.3.lnk]

C:\PROGRA~1\OPENOF~1.3\program\QUICKS~1.EXE [2007-09-11 393216]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"ThreatFire"=2

"wuauserv"=2

"CiSvc"=3

"Prime95 Service"=2

"PCToolsFirewallPlus"=2

"JavaQuickStarterService"=2

 

C:\Documents and Settings\All Users.WINDOWS\Start Menu\Programs\Startup

FlexType 2K.lnk - C:\WINDOWS\Datecs\Flex2K.exe

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]

C:\Program Files\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]

C:\WINDOWS\system32\Ati2evxx.dll [2006-12-17 110592]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=36

"NoDriveAutoRun"=FFFFFFFF

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"HonorAutoRunSetting"=

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE"="C:\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE:*:Enabled:SUPERAntiSpyware Free Edition"

"C:\Program Files\Alwil Software\Avast4\ashAvast.exe"="C:\Program Files\Alwil Software\Avast4\ashAvast.exe:*:Enabled:avast! Antivirus"

"C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"="C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe:*:Enabled:Malwarebytes' Anti-Malware"

"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:uTorrent.exe"

"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

 

======File associations======

 

.txt - open - notepad.exe %1

 

======List of files/folders created in the last 1 months======

 

2009-07-08 13:56:54 ----D---- C:\Program Files\trend micro

2009-07-08 13:56:51 ----D---- C:\rsit

2009-07-07 17:10:15 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Privacyware

2009-07-07 17:10:14 ----D---- C:\Program Files\Privacyware

2009-07-06 03:39:03 ----RASHD---- C:\autorun.inf

2009-07-04 13:18:56 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\Flock

2009-07-04 13:18:31 ----D---- C:\Program Files\Flock

2009-07-02 15:48:01 ----A---- C:\WINDOWS\#1 Video Converter.INI

2009-07-01 12:53:53 ----D---- C:\Program Files\AEDiction

2009-06-28 21:05:31 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\Orca Profiles

2009-06-22 16:44:44 ----A---- C:\WINDOWS\system32\javaws.exe

2009-06-22 16:44:44 ----A---- C:\WINDOWS\system32\javaw.exe

2009-06-22 16:44:44 ----A---- C:\WINDOWS\system32\java.exe

2009-06-22 16:44:35 ----D---- C:\Program Files\Java

2009-06-22 16:14:58 ----D---- C:\WINDOWS\WBEM

2009-06-22 16:14:42 ----HDC---- C:\WINDOWS\ie8

2009-06-21 13:56:38 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\IObit

2009-06-21 13:56:37 ----D---- C:\Program Files\IObit

2009-06-20 11:57:47 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\VSRevoGroup

2009-06-20 00:57:28 ----D---- C:\Program Files\BACL

2009-06-14 18:40:33 ----A---- C:\WINDOWS\system32\MFC71.dll

2009-06-14 18:40:33 ----A---- C:\WINDOWS\system32\aswBoot.exe

2009-06-14 18:40:31 ----D---- C:\Program Files\Alwil Software

 

======List of files/folders modified in the last 1 months======

 

2009-07-08 13:56:54 ----D---- C:\Program Files

2009-07-08 11:06:15 ----D---- C:\WINDOWS\system32\CatRoot2

2009-07-08 10:28:18 ----D---- C:\WINDOWS\system32\drivers

2009-07-08 10:26:28 ----D---- C:\WINDOWS\Temp

2009-07-08 10:23:55 ----A---- C:\WINDOWS\SchedLgU.Txt

2009-07-08 10:14:45 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\uTorrent

2009-07-08 10:04:09 ----D---- C:\WINDOWS

2009-07-08 03:15:25 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\AIMP

2009-07-08 03:04:01 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\Skype

2009-07-08 03:03:47 ----D---- C:\Program Files\nLite

2009-07-08 03:01:05 ----D---- C:\Program Files\Mozilla Firefox

2009-07-08 00:51:04 ----A---- C:\WINDOWS\wininit.ini

2009-07-07 23:54:33 ----D---- C:\Program Files\PC Dict

2009-07-07 23:49:50 ----SH---- C:\boot.ini

2009-07-07 23:49:50 ----A---- C:\WINDOWS\win.ini

2009-07-07 23:49:50 ----A---- C:\WINDOWS\system.ini

2009-07-07 18:13:22 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\skypePM

2009-07-07 18:13:03 ----D---- C:\WINDOWS\Prefetch

2009-07-07 18:12:20 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\OpenOffice.org2

2009-07-07 18:09:01 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy

2009-07-07 17:10:15 ----SHD---- C:\WINDOWS\Installer

2009-07-07 17:10:14 ----D---- C:\WINDOWS\system32

2009-07-06 15:25:14 ----D---- C:\Downloads

2009-07-05 02:56:18 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\ImgBurn

2009-07-04 17:40:49 ----A---- C:\WINDOWS\NeroDigital.ini

2009-07-03 18:00:11 ----D---- C:\Program Files\The KMPlayer

2009-07-03 00:06:13 ----SD---- C:\WINDOWS\Tasks

2009-07-01 12:53:53 ----RSD---- C:\WINDOWS\Fonts

2009-06-30 19:08:47 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\Thinstall

2009-06-25 12:34:46 ----D---- C:\Program Files\SUPERAntiSpyware

2009-06-22 16:44:37 ----A---- C:\WINDOWS\system32\deploytk.dll

2009-06-22 16:17:21 ----RSHDC---- C:\WINDOWS\system32\dllcache

2009-06-22 16:17:21 ----HD---- C:\WINDOWS\inf

2009-06-22 16:17:21 ----D---- C:\WINDOWS\Help

2009-06-22 16:17:21 ----D---- C:\Program Files\Internet Explorer

2009-06-22 16:14:58 ----D---- C:\WINDOWS\system32\en-us

2009-06-22 16:14:55 ----D---- C:\WINDOWS\Media

2009-06-22 15:50:53 ----D---- C:\WINDOWS\system32\config

2009-06-22 15:50:51 ----D---- C:\WINDOWS\security

2009-06-22 15:50:48 ----D---- C:\WINDOWS\system32\wbem

2009-06-22 15:50:48 ----D---- C:\WINDOWS\Registration

2009-06-22 15:20:31 ----RAH---- C:\WINDOWS\system32\cdplayer.exe.manifest

2009-06-17 22:44:32 ----D---- C:\Program Files\Malwarebytes' Anti-Malware

2009-06-15 03:16:21 ----A---- C:\WINDOWS\system32\winsock.dll

2009-06-14 18:31:19 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Avira

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-02-05 26944]

R1 AmdK8;AMD Processor Driver; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2005-03-09 36352]

R1 aslm75;aslm75; \??\C:\WINDOWS\system32\drivers\aslm75.sys []

R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-02-05 114768]

R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2009-02-05 51376]

R1 pctgntdi;pctgntdi; \??\C:\WINDOWS\system32\drivers\pctgntdi.sys []

R1 pwipf6;pwipf6; C:\WINDOWS\system32\drivers\pwipf6.sys [2007-11-22 87304]

R1 SASDIFSV;SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS []

R1 SASKUTIL;SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys []

R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560]

R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-02-05 94032]

R2 PCTAppEvent;PCTAppEvent Driver; \??\C:\WINDOWS\system32\drivers\PCTAppEvent.sys []

R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2004-08-13 129408]

R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2009-02-05 23152]

R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2006-12-17 1918464]

R3 esihdrv;esihdrv; \??\C:\DOCUME~1\ADMINI~1.VES\LOCALS~1\Temp\esihdrv.sys []

R3 rtl8139;Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-04 20992]

R3 SASENUM;SASENUM; \??\C:\Program Files\SUPERAntiSpyware\SASENUM.SYS []

R3 senfilt;senfilt; C:\WINDOWS\system32\drivers\senfilt.sys [2004-04-26 381056]

R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2005-02-01 260288]

R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]

R3 usbhub;USB2 Enabled Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]

R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]

S1 mchInjDrv;madCodeHook DLL injection driver; \??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys []

S3 Ad-Watch Connect Filter;Ad-Watch Connect Kernel Filter; \??\C:\WINDOWS\system32\drivers\NSDriver.sys []

S3 aujasnkj;aujasnkj; \??\C:\DOCUME~1\ADMINI~1.VES\LOCALS~1\Temp\aujasnkj.sys []

S3 cpuz130;cpuz130; \??\C:\DOCUME~1\ADMINI~1.VES\LOCALS~1\Temp\cpuz130\cpuz_x32.sys []

S3 ENTECH;ENTECH; \??\C:\WINDOWS\system32\DRIVERS\ENTECH.sys []

S3 MidiSyn;MidiSyn; C:\WINDOWS\system32\drivers\MidiSyn.sys [2004-09-14 88960]

S3 SFilter;PCTools Driver; C:\WINDOWS\system32\DRIVERS\pctfw.sys []

S3 usbscan;USB Scanner Driver; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

S3 USBSTOR;USB Mass Storage Driver; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]

S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

S4 WS2IFSL;Windows Socket 2.0 Non-IFS Service Provider Support Environment; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-23 12032]

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 aswUpdSv;avast! iAVS4 Control Service; C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [2009-02-05 18752]

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-12-17 434176]

R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast4\ashServ.exe [2009-02-05 138680]

R2 PFNet;Privacyware network service; C:\Program Files\Privacyware\Dynamic Security Agent\pfsvc.exe [2007-11-22 349448]

R2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe [2002-09-20 45056]

R3 avast! Mail Scanner;avast! Mail Scanner; C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe [2009-02-05 254040]

R3 avast! Web Scanner;avast! Web Scanner; C:\Program Files\Alwil Software\Avast4\ashWebSv.exe [2009-02-05 352920]

S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2006-12-20 520192]

S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]

S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]

S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864]

S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256]

S4 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-06-22 152984]

S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880]

S4 PCToolsFirewallPlus;PC Tools Firewall Plus; C:\Program Files\PC Tools Firewall Plus\FWService.exe []

S4 Prime95 Service;Prime95 Service; C:\DOCUME~1\ADMINI~1.VES\LOCALS~1\Temp\Rar$EX87.500\prime95.exe []

 

-----------------EOF-----------------

Link to comment
Сподели другаде

Хммм...имаш излишни неща в лога...но проблема не се показва поне в лога на RSIT...

 

Да пробваме директна атака:

 

Изтегли OTM.exe

 

Стартирай я и copy/paste под колонката "Paste instructions for items to be Moved" въведи това:

 

:processes

explorer.exe

:services

wcniouhen

:Commands

[purity]

[emptytemp]

[start explorer]

 

Натисни бутона MoveIt!

 

Ще се създаде лог в зелената колонка. Копирай го в следващия си пост. :)

 

Трябва да се получи нещо от сорта:

 

http://pic-bg.net/files/x8jtln6g6pvnt924bjvx294ip408pzoe7ig00r8k.jpg

 

И май гостът ти е Conficker/Kido/Downloadup...

Link to comment
Сподели другаде

Направих каквото ми каза, но като натиснах Moveit, започна бързо да се пълни бара (няколко пъти, след което ми поиска да рестартирам. Направих го и когато се зареди Windows ми се показа лога:

 

All processes killed

========== PROCESSES ==========

No active process named explorer.exe was found!

========== SERVICES/DRIVERS ==========

 

Service\Driver wcniouhen deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 232 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Administrator.VESO-03301D7BB0

->Temp folder emptied: 1471206 bytes

File delete failed. C:\Documents and Settings\Administrator.VESO-03301D7BB0\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

->Temporary Internet Files folder emptied: 6764067 bytes

->Java cache emptied: 13425503 bytes

->FireFox cache emptied: 32697864 bytes

->Opera cache emptied: 27501077 bytes

 

User: All Users

 

User: All Users.WINDOWS

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Default User.WINDOWS

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService.NT AUTHORITY

File delete failed. C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.

->Temp folder emptied: 65984 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 402 bytes

 

User: NetworkService.NT AUTHORITY

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2142714 bytes

%systemroot%\System32 .tmp files removed: 2577 bytes

File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_590.dat scheduled to be deleted on reboot.

Windows Temp folder emptied: 322310 bytes

RecycleBin emptied: 220672 bytes

 

Total Files Cleaned = 80.88 mb

 

 

OTM by OldTimer - Version 3.0.0.4 log created on 07082009_143838

 

Files moved on Reboot...

File C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!

File C:\WINDOWS\temp\Perflib_Perfdata_590.dat not found!

 

Registry entries deleted on Reboot...

 

Защитната стена пак беше спряна и avas! ми согнализира за нова атака, подобна на посочените... Май нищо не стана...? Тоя Конфикър (ако е това) си е бая гаден... Чел съм за него... Май няма спасение :bored:

Link to comment
Сподели другаде

Направих каквото ми каза, но като натиснах Moveit, започна бързо да се пълни бара (няколко пъти, след което ми поиска да рестартирам. Направих го и когато се зареди Windows ми се показа лога:

 

 

 

Защитната стена пак беше спряна и avas! ми согнализира за нова атака, подобна на посочените... Май нищо не стана...? Тоя Конфикър (ако е това) си е бая гаден... Чел съм за него... Май няма спасение :bored:

 

Разбира се, че има спасение...Я провери отново с GMER. :)

 

1. Спри временно защитата в реално време на антивирусната си програма.

 

2. Изтегли ComboFix и я запази на десктопа.

 

3. Сега Start Menu => Run => въведи командата:

 

"%userprofile%\desktop\combofix.exe" /killall

 

4. Публикувай съдържанието на лог файла в следващия си пост.

 

И няма да е зле да инсталираш всички кръпки за Windows (включително и Service Pack 3).

 

Интрументи за премахването на Conficker

 

Removal Tools

 

1. Microsoft Malicious Software Removal Tool

 

2. EConfickerRemover

 

3. bdtools

 

Добре е да се инсталират и следните актуализации:

 

- MS09-001

 

- MS08-068

 

- MS08-067

Link to comment
Сподели другаде

Кое от всичките Tool-чета да използвам...? ... Или което хване декиш...?

Обновленията, след Tool-четата ли да ги сложа?

 

Използвай всички тулчета срещу Conficker

 

След това вече сканирай с Combofix и публикувай лог файла.

 

След като те почистим инсталирай SP3 + останалите 3 кръпки посочени по-надолу в предишния ми пост.

 

Тази последователност трябва да спазваш по време на процедурата. :)

 

Edit : малките тулчета също може би ще създадат лог файлове. Публикувай ги и тях.

 

Gmer мрънка ли още ? :)

Link to comment
Сподели другаде

Отвори си защитната стена и отиди на Exceptions. Премахни реда който се появява и излез от стената.

Отиди на Start - Run - gpedit.msc

В ляво Computer Configuration - Administrative Templates - Network - Windows Firewall - Standart Profile.

Два пъти върху Protect all network connections и избираш Enabled.

Два пъти върху Define program exeptions и избираш Disabled.

Два пъти върху Allow local program exeptions и избираш Disabled.

 

http://store.picbg.net/pubpic/C1/24/d9f63d1c3981c124.JPG

 

Така ще забраниш промени в защитната стена.

 

http://store.picbg.net/pubpic/5F/C7/e25d101bc35a5fc7.JPG

 

http://store.picbg.net/pubpic/CF/83/547505628e18cf83.JPG

 

Свали Windows Worms Doors Cleaner, затвори всички порт-ове и рестартирай. Трябва да изглежда както е на снимката ми

 

http://store.picbg.net/pubpic/AC/FC/92fb78c0725facfc.JPG

 

Виж после дали защитната ти стена е спряна и дали има нов ред в Exceptions.

Успех

Link to comment
Сподели другаде

Съжалявам, че позакъснях да докладвам, но не съм си седял ей така...

Здрав..., а болен, както се казва. Направих снимка на съобщението на avast! при атака:

 

http://i30.tinypic.com/140jlnn.jpg

 

Това съобщение спря да се появява, когато след един от многобройните рестарти ми се смени IP-то (динамично е). Проведох сканирания с antiworm програмките... По точно с 2 от тях (на Bit Defender и тази на M$). EConficer Remover, при стартиране ми даваше черен екран и рестваше компа. Нито една от 2-те програми, с които сканирах не детектира глист или каквото и да било (с тази на M$ направих Full scan).. Ъпдейтите, към които ме насочи не съм ги инсталирал. Смятам, че първо трябва да се почисти (на бременна жена, спирала да слагам, с извинение). След това си ъпдейтнах MBAM и SAS (повторно) и проведох пълно сканиране под Safe Mode. MBAM не откри нищо. SAS напипа някакъв Trojan. Agent/Gen-PEC, който преди това, при сканирането в нормален режим не детектира. Spybot S&D намери някакъв Platinum Advertiser. Премахнах всичко, което се откри. Преди това спрях и изчистих System Restore. После настроих avast! да направи сканиране при стартиране. Нищо не откри, естествено. Пробно направих повторно сканиране с Gmer, който май единствен засича опасност. Бързо и пълно сканиране (лога от бързото е в архивчето). Сигнализира ми за промени направени от rootkit. Докато сканираше пълно, направих шот на това, което е намерил Gmer:

 

http://i28.tinypic.com/sde9n5.jpg

 

Просто не знам, ако тия неща не са Rootkit... Вероятно не някой много агресивен, защото ми дава да правя каквото поискам на компа. Щом изтеглих ъпдейтите и програмките без да ми пречи... Доколкото знам Confiker спира ъпдейтите от MS и на антивирусните и т.н.

 

След това влязох в нормален режим и видях, че гадината DCOM (135), пак се е добавила в Exceptions на стената, която този път не се беше изключила. Вероятно, защото бях дръпнал кабела на нета и това дето я командори не можеше да я ping-не. Плюс това, сигурно още ми търси IP-то. Междувременно, ъпдейтите на Win се бяха включили автоматично и понеже бях излязал да дръпна един фас (тютюн), не смогнах да ги спра... Eстествено M$ не пропуснах да ми пратят звездата на смъртта..., с която трябваше да се справя... Стриктно следвайки "добронамерените" им инструкции.

 

После, приложих съветите nikikom. Направих настройките на стената, както той посочи. Когато рестартирах, обаче DCOM(135) ме очакваше, като само той беше активен от Exceptions. Така ставаше, дори когато маркирах No Exception. Иначе вси други си спитаха. После приложих програмката, която nikikom ми предложи:

 

http://i32.tinypic.com/34999u9.jpg

 

Така направих настройките и програмката ми каза, че всичко е 6. След рестарт, обаче, DCOM(135) си се мъдреше на старото място. След това, направих повторно сканиране с HiJackThis и останалите прогрмки, предложени ми от B-boy, включително и с ComboFix. От там с прискърбие разбрах, че май и моя Win е самоделка, защото май няма Recovery Console (опцията за поправки от диска). Изобщо..., черен ден... Та до тука стигнах и повече не се сещам какво да правя... No Esc! Даже и да оправим положението с гадинакта, Win-a ще е съществено състарен и допълнително напълнен с ненужни записи, водещи към неизбежния преинстал. Все пак, ако има нови предложения, ще бъда благодарен. Споре мен гадиката е Rootkit, но както ме посъветвате, тъй ще сторя. Това е за сега...

 

Edit: Забравих да питам... Ами ако спра/изтрия нещата маркирани от GMER, няма ли начин да избегна синия (или с друг цвят) екран?

Link to comment
Сподели другаде

Направи едно пълно сканиране с AVP Tool на Kaspersky lab без инсталация : http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

Сложи всички отметки/

http://www.ilsoftware.it/public/shots/avptool_1108_03.gif

Link to comment
Сподели другаде

Дали е самоделка не знам, но гледам останки от различни програми за сигурност и FlexType за капак.

 

Пейстни следния текст в нов текстов документ и го запази на десктопа под името CFScript (или CFScript.txt, ако работиш с показани разширения):

KillAll:

File::
c:\windows\system32\xzxcltq.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wcniouhen]

NetSvc::
wcniouhen

Driver::
wcniouhen

Провлачи текстовия файл върху ComboFix, както е показано тук:

http://www.softvisia.com/users/Night_Raven/Security/cfsdnd2.gif

 

Внимание: това са инструкции за конкретния потребител. Ако сте друг потребител със същия или подобен проблем, НЕ прилагайте текущите инструкции в действие.

 

След това дай новия лог.

Link to comment
Сподели другаде

Ъпдейтите, към които ме насочи не съм ги инсталирал. Смятам, че първо трябва да се почисти (на бременна жена, спирала да слагам, с извинение).

 

Добре, а аз какво съм писал...?

 

След като те почистим инсталирай SP3 + останалите 3 кръпки посочени по-надолу в предишния ми пост.

 

Естествено, че накрая ще ги инсталираш...

 

Otmoveit е премахнала услугата:

 

========== SERVICES/DRIVERS ==========

 

Service\Driver wcniouhen deleted successfully.

 

Тогава нямах лог от Cоmbofix и затова нямаше какво повече да те посъветвам.

 

След скрипта на Night_raven би трябвало проблема с rootkit-a да си замине.

 

И за финал

 

Отвори Notepad и с copy/paste въведи:

 

Windows Registry Editor Version 5.00

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"135:TCP"=-

 

Запази файла с име fix.reg

 

Файла ще изглежда така - http://users.telenet.be/bluepatchy/miekiemoes/images/reg.gif

 

Стартирай го и ззбери Yes за да влезнат промените в сила.

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...

×
×
  • Създай ново...