draco_volans Публикувано Юли 8, 2009 Report Share Публикувано Юли 8, 2009 Здравейте!Мисля, че си имам малко гадно rootkit-че. Предистория: Вчера от сутринта avast! засече 4 атаки от DCOM 94.231..., DCOM 94.137... и още 2 от същия Exploit, но винаги с различно IP. След това погледнах в Windows Secirity Center и видях, че защитната стена е изключена, въпреки че в основния панел на Windows Security Center показваше включено положение. В Exceptions се беше намърдал DCOM (135). Махнах го от там и включих отново стената. Това доведе до спиране на атаките от DCOM-гадинката. Сканирах с avast!, MBAM и SAS, но те не откриха нищо. Днеска включих компютъра и веднага след зареждане на OS получих атака от посочената гадинка. Видях че стената пак е изключена (по същия начин, който описах) и отново имам в Exceptions DCOM (135)... Тогава направих грешката да рестартирам компа (още не ми се вярвашв, че това е Rootkit) и ми направи впечатление, че много бързо излезе от OS и след това зареди... Стената отново беше изключена и всичко пак беше същото. Забелязвам, че и интернета ми периодично се изключва и включва... След това направих сканиране с Gmer, HijackThis (смених му името) и ESET Sysinspector. Прилагам логовете по-долу.Мисля, че Gmer хвана гадинка, но не съм напълно сигурен, дали е само тя... Сканирането с MBAM, SAS и avast! не показа нищо, отново... МОЛЯ ЗА ПОМОЩ! Gmer:GMER 1.0.15.14972 - http://www.gmer.netRootkit scan 2009-07-08 11:01:21Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.15 ---- SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xBA7832A8]SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xBA78E910] ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 89941F70 AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)AttachedDevice \Driver\Tcpip \Device\Ip pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)AttachedDevice \Driver\Tcpip \Device\Tcp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)AttachedDevice \Driver\Tcpip \Device\Udp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)AttachedDevice \Driver\Tcpip \Device\RawIp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) ---- Modules - GMER 1.0.15 ---- Module _________ BA6E5000-BA6FD000 (98304 bytes) ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] wcniouhen <-- ROOTKIT !!! ---- EOF - GMER 1.0.15 ---- HiJackThis: Logfile of Trend Micro HijackThis v2.0.2Scan saved at 12:01:08, on 7/8/2009Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v8.00 (8.00.6001.18702)Boot mode: Normal Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exeC:\Program Files\Analog Devices\SoundMAX\Smax4.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\Program Files\Java\jre6\bin\jusched.exeC:\Program Files\Privacyware\Dynamic Security Agent\DSA.exeC:\Program Files\ATI Technologies\ATI.ACE\CLI.EXEC:\WINDOWS\Datecs\Flex2K.exeC:\Program Files\Privacyware\Dynamic Security Agent\pfsvc.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\WINDOWS\system32\wscntfy.exeC:\Program Files\ATI Technologies\ATI.ACE\cli.exeC:\Program Files\ATI Technologies\ATI.ACE\cli.exeD:\Programs_Fun\Програми\Support\Process Explorer\procexp.exeC:\Program Files\Flock\flock.exeC:\WINDOWS\system32\notepad.exeD:\Programs_Fun\Програми\Антивирусни\HJ\prog.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.bg/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dllO2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dllO2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dllO3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dllO3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\Programs_Fun\Програми\Музика и филми\1 Video Convertor\1 Video Converter\App\msdxm.ocxO4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exeO4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /trayO4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"O4 - HKLM\..\Run: [Dynamic Security Agent] C:\Program Files\Privacyware\Dynamic Security Agent\DSA.exeO4 - Global Startup: FlexType 2K.lnk = ?O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htmO8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htmO9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exeO9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exeO9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLLO20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dllO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exeO23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exeO23 - Service: Privacyware network service (PFNet) - Privacyware/PWI, Inc. - C:\Program Files\Privacyware\Dynamic Security Agent\pfsvc.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe --End of file - 5807 bytes Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Юли 8, 2009 Report Share Публикувано Юли 8, 2009 Я пусни един лог от RSIT... Цитирай Link to comment Сподели другаде More sharing options...
draco_volans Публикувано Юли 8, 2009 Author Report Share Публикувано Юли 8, 2009 Ето информацията от log.txt: Logfile of random's system information tool 1.06 (written by random/random)Run by Administrator at 2009-07-08 13:56:51Microsoft Windows XP Professional Service Pack 2System drive C: has 35 GB (70%) free of 50 GBTotal RAM: 1535 MB (57% free) HijackThis download failed ======Scheduled tasks folder====== C:\WINDOWS\tasks\SmartDefrag.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]Adobe PDF Reader Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9961627E-4059-41B4-8E0E-A7D6B3854ADF}]IE 4.x-6.x BHO for Download Master - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll [2009-03-06 157696] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-06-22 41368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-06-22 73728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]{0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - DM Bar - C:\Program Files\Download Master\dmbar.dll [2007-11-26 180224]{8E718888-423F-11D2-876E-00A0C9082467} - @msdxmLC.dll,-1@1033,&Radio - D:\Programs_Fun\Програми\Музика и филми\1 Video Convertor\1 Video Converter\App\msdxm.ocx [2009-07-02 844048] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]"ATICCC"=C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe [2006-09-25 90112]"SoundMAXPnP"=C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe [2004-10-14 1388544]"SoundMAX"=C:\Program Files\Analog Devices\SoundMAX\Smax4.exe [2004-08-06 860160]"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-02-05 81000]"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-06-22 148888]""= []"Dynamic Security Agent"=C:\Program Files\Privacyware\Dynamic Security Agent\DSA.exe [2007-11-22 2376968] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Probe]C:\Program Files\ASUS\Asus Probe\AsusProb.exe [2002-12-06 617984] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]C:\Program Files\D-Tools\daemon.exe [2004-08-22 81920] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSConfig]C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe [2004-08-04 158208] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]C:\Program Files\Messenger\msmsgs.exe [2004-08-04 1667584] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]C:\Program Files\Skype\Phone\Skype.exe [2008-11-07 21633320] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Administrator.VESO-03301D7BB0^Start Menu^Programs^Startup^OpenOffice.org 2.3.lnk]C:\PROGRA~1\OPENOF~1.3\program\QUICKS~1.EXE [2007-09-11 393216] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]"ThreatFire"=2"wuauserv"=2"CiSvc"=3"Prime95 Service"=2"PCToolsFirewallPlus"=2"JavaQuickStarterService"=2 C:\Documents and Settings\All Users.WINDOWS\Start Menu\Programs\StartupFlexType 2K.lnk - C:\WINDOWS\Datecs\Flex2K.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]C:\Program Files\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]C:\WINDOWS\system32\Ati2evxx.dll [2006-12-17 110592] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]"dontdisplaylastusername"=0"legalnoticecaption"="legalnoticetext"="shutdownwithoutlogon"=1"undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]"NoDriveTypeAutoRun"=36"NoDriveAutoRun"=FFFFFFFF [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]"HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019""C:\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE"="C:\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE:*:Enabled:SUPERAntiSpyware Free Edition""C:\Program Files\Alwil Software\Avast4\ashAvast.exe"="C:\Program Files\Alwil Software\Avast4\ashAvast.exe:*:Enabled:avast! Antivirus""C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"="C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe:*:Enabled:Malwarebytes' Anti-Malware""C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:uTorrent.exe""C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" ======File associations====== .txt - open - notepad.exe %1 ======List of files/folders created in the last 1 months====== 2009-07-08 13:56:54 ----D---- C:\Program Files\trend micro2009-07-08 13:56:51 ----D---- C:\rsit2009-07-07 17:10:15 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Privacyware2009-07-07 17:10:14 ----D---- C:\Program Files\Privacyware2009-07-06 03:39:03 ----RASHD---- C:\autorun.inf2009-07-04 13:18:56 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\Flock2009-07-04 13:18:31 ----D---- C:\Program Files\Flock2009-07-02 15:48:01 ----A---- C:\WINDOWS\#1 Video Converter.INI2009-07-01 12:53:53 ----D---- C:\Program Files\AEDiction2009-06-28 21:05:31 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\Orca Profiles2009-06-22 16:44:44 ----A---- C:\WINDOWS\system32\javaws.exe2009-06-22 16:44:44 ----A---- C:\WINDOWS\system32\javaw.exe2009-06-22 16:44:44 ----A---- C:\WINDOWS\system32\java.exe2009-06-22 16:44:35 ----D---- C:\Program Files\Java2009-06-22 16:14:58 ----D---- C:\WINDOWS\WBEM2009-06-22 16:14:42 ----HDC---- C:\WINDOWS\ie82009-06-21 13:56:38 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\IObit2009-06-21 13:56:37 ----D---- C:\Program Files\IObit2009-06-20 11:57:47 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\VSRevoGroup2009-06-20 00:57:28 ----D---- C:\Program Files\BACL2009-06-14 18:40:33 ----A---- C:\WINDOWS\system32\MFC71.dll2009-06-14 18:40:33 ----A---- C:\WINDOWS\system32\aswBoot.exe2009-06-14 18:40:31 ----D---- C:\Program Files\Alwil Software ======List of files/folders modified in the last 1 months====== 2009-07-08 13:56:54 ----D---- C:\Program Files2009-07-08 11:06:15 ----D---- C:\WINDOWS\system32\CatRoot22009-07-08 10:28:18 ----D---- C:\WINDOWS\system32\drivers2009-07-08 10:26:28 ----D---- C:\WINDOWS\Temp2009-07-08 10:23:55 ----A---- C:\WINDOWS\SchedLgU.Txt2009-07-08 10:14:45 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\uTorrent2009-07-08 10:04:09 ----D---- C:\WINDOWS2009-07-08 03:15:25 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\AIMP2009-07-08 03:04:01 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\Skype2009-07-08 03:03:47 ----D---- C:\Program Files\nLite2009-07-08 03:01:05 ----D---- C:\Program Files\Mozilla Firefox2009-07-08 00:51:04 ----A---- C:\WINDOWS\wininit.ini2009-07-07 23:54:33 ----D---- C:\Program Files\PC Dict2009-07-07 23:49:50 ----SH---- C:\boot.ini2009-07-07 23:49:50 ----A---- C:\WINDOWS\win.ini2009-07-07 23:49:50 ----A---- C:\WINDOWS\system.ini2009-07-07 18:13:22 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\skypePM2009-07-07 18:13:03 ----D---- C:\WINDOWS\Prefetch2009-07-07 18:12:20 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\OpenOffice.org22009-07-07 18:09:01 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy2009-07-07 17:10:15 ----SHD---- C:\WINDOWS\Installer2009-07-07 17:10:14 ----D---- C:\WINDOWS\system322009-07-06 15:25:14 ----D---- C:\Downloads2009-07-05 02:56:18 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\ImgBurn2009-07-04 17:40:49 ----A---- C:\WINDOWS\NeroDigital.ini2009-07-03 18:00:11 ----D---- C:\Program Files\The KMPlayer2009-07-03 00:06:13 ----SD---- C:\WINDOWS\Tasks2009-07-01 12:53:53 ----RSD---- C:\WINDOWS\Fonts2009-06-30 19:08:47 ----D---- C:\Documents and Settings\Administrator.VESO-03301D7BB0\Application Data\Thinstall2009-06-25 12:34:46 ----D---- C:\Program Files\SUPERAntiSpyware2009-06-22 16:44:37 ----A---- C:\WINDOWS\system32\deploytk.dll2009-06-22 16:17:21 ----RSHDC---- C:\WINDOWS\system32\dllcache2009-06-22 16:17:21 ----HD---- C:\WINDOWS\inf2009-06-22 16:17:21 ----D---- C:\WINDOWS\Help2009-06-22 16:17:21 ----D---- C:\Program Files\Internet Explorer2009-06-22 16:14:58 ----D---- C:\WINDOWS\system32\en-us2009-06-22 16:14:55 ----D---- C:\WINDOWS\Media2009-06-22 15:50:53 ----D---- C:\WINDOWS\system32\config2009-06-22 15:50:51 ----D---- C:\WINDOWS\security2009-06-22 15:50:48 ----D---- C:\WINDOWS\system32\wbem2009-06-22 15:50:48 ----D---- C:\WINDOWS\Registration2009-06-22 15:20:31 ----RAH---- C:\WINDOWS\system32\cdplayer.exe.manifest2009-06-17 22:44:32 ----D---- C:\Program Files\Malwarebytes' Anti-Malware2009-06-15 03:16:21 ----A---- C:\WINDOWS\system32\winsock.dll2009-06-14 18:31:19 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Avira ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-02-05 26944]R1 AmdK8;AMD Processor Driver; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2005-03-09 36352]R1 aslm75;aslm75; \??\C:\WINDOWS\system32\drivers\aslm75.sys []R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-02-05 114768]R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2009-02-05 51376]R1 pctgntdi;pctgntdi; \??\C:\WINDOWS\system32\drivers\pctgntdi.sys []R1 pwipf6;pwipf6; C:\WINDOWS\system32\drivers\pwipf6.sys [2007-11-22 87304]R1 SASDIFSV;SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS []R1 SASKUTIL;SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys []R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560]R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-02-05 94032]R2 PCTAppEvent;PCTAppEvent Driver; \??\C:\WINDOWS\system32\drivers\PCTAppEvent.sys []R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2004-08-13 129408]R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2009-02-05 23152]R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2006-12-17 1918464]R3 esihdrv;esihdrv; \??\C:\DOCUME~1\ADMINI~1.VES\LOCALS~1\Temp\esihdrv.sys []R3 rtl8139;Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-04 20992]R3 SASENUM;SASENUM; \??\C:\Program Files\SUPERAntiSpyware\SASENUM.SYS []R3 senfilt;senfilt; C:\WINDOWS\system32\drivers\senfilt.sys [2004-04-26 381056]R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2005-02-01 260288]R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]R3 usbhub;USB2 Enabled Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]S1 mchInjDrv;madCodeHook DLL injection driver; \??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys []S3 Ad-Watch Connect Filter;Ad-Watch Connect Kernel Filter; \??\C:\WINDOWS\system32\drivers\NSDriver.sys []S3 aujasnkj;aujasnkj; \??\C:\DOCUME~1\ADMINI~1.VES\LOCALS~1\Temp\aujasnkj.sys []S3 cpuz130;cpuz130; \??\C:\DOCUME~1\ADMINI~1.VES\LOCALS~1\Temp\cpuz130\cpuz_x32.sys []S3 ENTECH;ENTECH; \??\C:\WINDOWS\system32\DRIVERS\ENTECH.sys []S3 MidiSyn;MidiSyn; C:\WINDOWS\system32\drivers\MidiSyn.sys [2004-09-14 88960]S3 SFilter;PCTools Driver; C:\WINDOWS\system32\DRIVERS\pctfw.sys []S3 usbscan;USB Scanner Driver; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]S3 USBSTOR;USB Mass Storage Driver; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []S4 WS2IFSL;Windows Socket 2.0 Non-IFS Service Provider Support Environment; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-23 12032] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 aswUpdSv;avast! iAVS4 Control Service; C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [2009-02-05 18752]R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-12-17 434176]R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast4\ashServ.exe [2009-02-05 138680]R2 PFNet;Privacyware network service; C:\Program Files\Privacyware\Dynamic Security Agent\pfsvc.exe [2007-11-22 349448]R2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe [2002-09-20 45056]R3 avast! Mail Scanner;avast! Mail Scanner; C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe [2009-02-05 254040]R3 avast! Web Scanner;avast! Web Scanner; C:\Program Files\Alwil Software\Avast4\ashWebSv.exe [2009-02-05 352920]S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2006-12-20 520192]S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864]S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256]S4 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-06-22 152984]S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880]S4 PCToolsFirewallPlus;PC Tools Firewall Plus; C:\Program Files\PC Tools Firewall Plus\FWService.exe []S4 Prime95 Service;Prime95 Service; C:\DOCUME~1\ADMINI~1.VES\LOCALS~1\Temp\Rar$EX87.500\prime95.exe [] -----------------EOF----------------- Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Юли 8, 2009 Report Share Публикувано Юли 8, 2009 Хммм...имаш излишни неща в лога...но проблема не се показва поне в лога на RSIT... Да пробваме директна атака: Изтегли OTM.exe Стартирай я и copy/paste под колонката "Paste instructions for items to be Moved" въведи това: :processesexplorer.exe:serviceswcniouhen:Commands[purity][emptytemp][start explorer] Натисни бутона MoveIt! Ще се създаде лог в зелената колонка. Копирай го в следващия си пост. Трябва да се получи нещо от сорта: http://pic-bg.net/files/x8jtln6g6pvnt924bjvx294ip408pzoe7ig00r8k.jpg И май гостът ти е Conficker/Kido/Downloadup... Цитирай Link to comment Сподели другаде More sharing options...
draco_volans Публикувано Юли 8, 2009 Author Report Share Публикувано Юли 8, 2009 Направих каквото ми каза, но като натиснах Moveit, започна бързо да се пълни бара (няколко пъти, след което ми поиска да рестартирам. Направих го и когато се зареди Windows ми се показа лога: All processes killed========== PROCESSES ==========No active process named explorer.exe was found!========== SERVICES/DRIVERS ========== Service\Driver wcniouhen deleted successfully.========== COMMANDS ========== [EMPTYTEMP] User: Administrator->Temp folder emptied: 232 bytes->Temporary Internet Files folder emptied: 33170 bytes User: Administrator.VESO-03301D7BB0->Temp folder emptied: 1471206 bytesFile delete failed. C:\Documents and Settings\Administrator.VESO-03301D7BB0\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.->Temporary Internet Files folder emptied: 6764067 bytes->Java cache emptied: 13425503 bytes->FireFox cache emptied: 32697864 bytes->Opera cache emptied: 27501077 bytes User: All Users User: All Users.WINDOWS User: Default User->Temp folder emptied: 0 bytes->Temporary Internet Files folder emptied: 33170 bytes User: Default User.WINDOWS->Temp folder emptied: 0 bytes->Temporary Internet Files folder emptied: 33170 bytes User: LocalService->Temp folder emptied: 0 bytes->Temporary Internet Files folder emptied: 33170 bytes User: LocalService.NT AUTHORITYFile delete failed. C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.File delete failed. C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.File delete failed. C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.->Temp folder emptied: 65984 bytes->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService->Temp folder emptied: 0 bytes->Temporary Internet Files folder emptied: 402 bytes User: NetworkService.NT AUTHORITY->Temp folder emptied: 0 bytes->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes%systemroot% .tmp files removed: 2142714 bytes%systemroot%\System32 .tmp files removed: 2577 bytesFile delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_590.dat scheduled to be deleted on reboot.Windows Temp folder emptied: 322310 bytesRecycleBin emptied: 220672 bytes Total Files Cleaned = 80.88 mb OTM by OldTimer - Version 3.0.0.4 log created on 07082009_143838 Files moved on Reboot...File C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!File C:\WINDOWS\temp\Perflib_Perfdata_590.dat not found! Registry entries deleted on Reboot... Защитната стена пак беше спряна и avas! ми согнализира за нова атака, подобна на посочените... Май нищо не стана...? Тоя Конфикър (ако е това) си е бая гаден... Чел съм за него... Май няма спасение Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Юли 8, 2009 Report Share Публикувано Юли 8, 2009 Направих каквото ми каза, но като натиснах Moveit, започна бързо да се пълни бара (няколко пъти, след което ми поиска да рестартирам. Направих го и когато се зареди Windows ми се показа лога: Защитната стена пак беше спряна и avas! ми согнализира за нова атака, подобна на посочените... Май нищо не стана...? Тоя Конфикър (ако е това) си е бая гаден... Чел съм за него... Май няма спасение Разбира се, че има спасение...Я провери отново с GMER. 1. Спри временно защитата в реално време на антивирусната си програма. 2. Изтегли ComboFix и я запази на десктопа. 3. Сега Start Menu => Run => въведи командата: "%userprofile%\desktop\combofix.exe" /killall 4. Публикувай съдържанието на лог файла в следващия си пост. И няма да е зле да инсталираш всички кръпки за Windows (включително и Service Pack 3). Интрументи за премахването на Conficker Removal Tools 1. Microsoft Malicious Software Removal Tool 2. EConfickerRemover 3. bdtools Добре е да се инсталират и следните актуализации: - MS09-001 - MS08-068 - MS08-067 Цитирай Link to comment Сподели другаде More sharing options...
draco_volans Публикувано Юли 8, 2009 Author Report Share Публикувано Юли 8, 2009 Кое от всичките Tool-чета да използвам...? ... Или което хване декиш...?Обновленията, след Tool-четата ли да ги сложа? Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Юли 8, 2009 Report Share Публикувано Юли 8, 2009 Кое от всичките Tool-чета да използвам...? ... Или което хване декиш...?Обновленията, след Tool-четата ли да ги сложа? Използвай всички тулчета срещу Conficker След това вече сканирай с Combofix и публикувай лог файла. След като те почистим инсталирай SP3 + останалите 3 кръпки посочени по-надолу в предишния ми пост. Тази последователност трябва да спазваш по време на процедурата. Edit : малките тулчета също може би ще създадат лог файлове. Публикувай ги и тях. Gmer мрънка ли още ? Цитирай Link to comment Сподели другаде More sharing options...
nikikom Публикувано Юли 8, 2009 Report Share Публикувано Юли 8, 2009 Отвори си защитната стена и отиди на Exceptions. Премахни реда който се появява и излез от стената.Отиди на Start - Run - gpedit.msc В ляво Computer Configuration - Administrative Templates - Network - Windows Firewall - Standart Profile. Два пъти върху Protect all network connections и избираш Enabled.Два пъти върху Define program exeptions и избираш Disabled.Два пъти върху Allow local program exeptions и избираш Disabled. http://store.picbg.net/pubpic/C1/24/d9f63d1c3981c124.JPG Така ще забраниш промени в защитната стена. http://store.picbg.net/pubpic/5F/C7/e25d101bc35a5fc7.JPG http://store.picbg.net/pubpic/CF/83/547505628e18cf83.JPG Свали Windows Worms Doors Cleaner, затвори всички порт-ове и рестартирай. Трябва да изглежда както е на снимката ми http://store.picbg.net/pubpic/AC/FC/92fb78c0725facfc.JPG Виж после дали защитната ти стена е спряна и дали има нов ред в Exceptions.Успех Цитирай Link to comment Сподели другаде More sharing options...
draco_volans Публикувано Юли 8, 2009 Author Report Share Публикувано Юли 8, 2009 Съжалявам, че позакъснях да докладвам, но не съм си седял ей така... Здрав..., а болен, както се казва. Направих снимка на съобщението на avast! при атака: http://i30.tinypic.com/140jlnn.jpg Това съобщение спря да се появява, когато след един от многобройните рестарти ми се смени IP-то (динамично е). Проведох сканирания с antiworm програмките... По точно с 2 от тях (на Bit Defender и тази на M$). EConficer Remover, при стартиране ми даваше черен екран и рестваше компа. Нито една от 2-те програми, с които сканирах не детектира глист или каквото и да било (с тази на M$ направих Full scan).. Ъпдейтите, към които ме насочи не съм ги инсталирал. Смятам, че първо трябва да се почисти (на бременна жена, спирала да слагам, с извинение). След това си ъпдейтнах MBAM и SAS (повторно) и проведох пълно сканиране под Safe Mode. MBAM не откри нищо. SAS напипа някакъв Trojan. Agent/Gen-PEC, който преди това, при сканирането в нормален режим не детектира. Spybot S&D намери някакъв Platinum Advertiser. Премахнах всичко, което се откри. Преди това спрях и изчистих System Restore. После настроих avast! да направи сканиране при стартиране. Нищо не откри, естествено. Пробно направих повторно сканиране с Gmer, който май единствен засича опасност. Бързо и пълно сканиране (лога от бързото е в архивчето). Сигнализира ми за промени направени от rootkit. Докато сканираше пълно, направих шот на това, което е намерил Gmer: http://i28.tinypic.com/sde9n5.jpg Просто не знам, ако тия неща не са Rootkit... Вероятно не някой много агресивен, защото ми дава да правя каквото поискам на компа. Щом изтеглих ъпдейтите и програмките без да ми пречи... Доколкото знам Confiker спира ъпдейтите от MS и на антивирусните и т.н. След това влязох в нормален режим и видях, че гадината DCOM (135), пак се е добавила в Exceptions на стената, която този път не се беше изключила. Вероятно, защото бях дръпнал кабела на нета и това дето я командори не можеше да я ping-не. Плюс това, сигурно още ми търси IP-то. Междувременно, ъпдейтите на Win се бяха включили автоматично и понеже бях излязал да дръпна един фас (тютюн), не смогнах да ги спра... Eстествено M$ не пропуснах да ми пратят звездата на смъртта..., с която трябваше да се справя... Стриктно следвайки "добронамерените" им инструкции. После, приложих съветите nikikom. Направих настройките на стената, както той посочи. Когато рестартирах, обаче DCOM(135) ме очакваше, като само той беше активен от Exceptions. Така ставаше, дори когато маркирах No Exception. Иначе вси други си спитаха. После приложих програмката, която nikikom ми предложи: http://i32.tinypic.com/34999u9.jpg Така направих настройките и програмката ми каза, че всичко е 6. След рестарт, обаче, DCOM(135) си се мъдреше на старото място. След това, направих повторно сканиране с HiJackThis и останалите прогрмки, предложени ми от B-boy, включително и с ComboFix. От там с прискърбие разбрах, че май и моя Win е самоделка, защото май няма Recovery Console (опцията за поправки от диска). Изобщо..., черен ден... Та до тука стигнах и повече не се сещам какво да правя... No Esc! Даже и да оправим положението с гадинакта, Win-a ще е съществено състарен и допълнително напълнен с ненужни записи, водещи към неизбежния преинстал. Все пак, ако има нови предложения, ще бъда благодарен. Споре мен гадиката е Rootkit, но както ме посъветвате, тъй ще сторя. Това е за сега... Edit: Забравих да питам... Ами ако спра/изтрия нещата маркирани от GMER, няма ли начин да избегна синия (или с друг цвят) екран? Цитирай Link to comment Сподели другаде More sharing options...
mihnev_sz Публикувано Юли 8, 2009 Report Share Публикувано Юли 8, 2009 Направи едно пълно сканиране с AVP Tool на Kaspersky lab без инсталация : http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/Сложи всички отметки/http://www.ilsoftware.it/public/shots/avptool_1108_03.gif Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Юли 8, 2009 Report Share Публикувано Юли 8, 2009 Дали е самоделка не знам, но гледам останки от различни програми за сигурност и FlexType за капак. Пейстни следния текст в нов текстов документ и го запази на десктопа под името CFScript (или CFScript.txt, ако работиш с показани разширения):KillAll: File:: c:\windows\system32\xzxcltq.dll Registry:: [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wcniouhen] NetSvc:: wcniouhen Driver:: wcniouhenПровлачи текстовия файл върху ComboFix, както е показано тук:http://www.softvisia.com/users/Night_Raven/Security/cfsdnd2.gif Внимание: това са инструкции за конкретния потребител. Ако сте друг потребител със същия или подобен проблем, НЕ прилагайте текущите инструкции в действие. След това дай новия лог. Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Юли 8, 2009 Report Share Публикувано Юли 8, 2009 Ъпдейтите, към които ме насочи не съм ги инсталирал. Смятам, че първо трябва да се почисти (на бременна жена, спирала да слагам, с извинение). Добре, а аз какво съм писал...? След като те почистим инсталирай SP3 + останалите 3 кръпки посочени по-надолу в предишния ми пост. Естествено, че накрая ще ги инсталираш... Otmoveit е премахнала услугата: ========== SERVICES/DRIVERS ========== Service\Driver wcniouhen deleted successfully. Тогава нямах лог от Cоmbofix и затова нямаше какво повече да те посъветвам. След скрипта на Night_raven би трябвало проблема с rootkit-a да си замине. И за финал Отвори Notepad и с copy/paste въведи: Windows Registry Editor Version 5.00 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"135:TCP"=- Запази файла с име fix.reg Файла ще изглежда така - http://users.telenet.be/bluepatchy/miekiemoes/images/reg.gif Стартирай го и ззбери Yes за да влезнат промените в сила. Цитирай Link to comment Сподели другаде More sharing options...
Maniac Публикувано Юли 8, 2009 Report Share Публикувано Юли 8, 2009 Night_Raven, вече е направено: ========== SERVICES/DRIVERS ========== Service\Driver wcniouhen deleted successfully. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Юли 8, 2009 Report Share Публикувано Юли 8, 2009 Тогава защо има 1000 лога в архива? Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.