Trojan

IP: 80.51.250.* 23.10.05, 11:36
Od pewnego czasu komp na XP (mam 98 i XP) zaczął się wieszać i zwalniać,
przerywało mi połączenie z siecią. Puściłem skanera on-line ze strony MKS-a.
Skaner znalazł wirusa: Trojan.Ferten.A1 . Plik do skasowania perfmnt.exe w
folderze System32. Nie mogłem usunąć pliku ponieważ był używany. Wykasowałem
go z 98. Po uruchomieniu XP pojawia się sama tapeta, chociaż wydaje się że
system działa poprawnie, ponieważ uruchamiam programy "ręcznie" (ctrl+alt+del
i nowe zadanie) i działają. Proszę o pomoc. Czy plik który usunąłem jest
jakimś ważnym plikiem systemowym, może vir zmienił jego nazwę?
    • Gość: Kolobos Re: Trojan IP: *.warszawa.sdi.tpnet.pl 23.10.05, 11:53
      Czy jak uruchomisz w menadzerze zadan explorer.exe to pojawia sie pasek start
      itd?
      Wklej log z hijackthis na poczatek.
      • Gość: bee Re: Trojan IP: 80.51.250.* 23.10.05, 21:16
        Logfile of HijackThis v1.99.1
        Scan saved at 21:12:05, on 2005-10-23
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

        Running processes:
        D:\WINDOWS\System32\smss.exe
        D:\WINDOWS\system32\winlogon.exe
        D:\WINDOWS\system32\services.exe
        D:\WINDOWS\system32\lsass.exe
        D:\WINDOWS\System32\Ati2evxx.exe
        D:\WINDOWS\system32\svchost.exe
        D:\WINDOWS\System32\svchost.exe
        D:\WINDOWS\system32\spoolsv.exe
        D:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
        D:\WINDOWS\System32\svchost.exe
        D:\WINDOWS\system32\Ati2evxx.exe
        D:\Program Files\WinRAR\WinRAR.exe
        D:\DOCUME~1\MARIUS~1.KOM\USTAWI~1\Temp\Rar$EX03.766\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        D:\WINDOWS\System32\msdxm.ocx
        O4 - HKLM\..\Run: [ATIPTA] "D:\Program Files\ATI Technologies\ATI Control
        Panel\atiptaxx.exe"
        O4 - HKLM\..\Run: [HP Component Manager] "D:\Program
        Files\HP\hpcoretech\hpcmpmgr.exe"
        O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program
        Files\Java\jre1.5.0_04\bin\jusched.exe
        O4 - HKLM\..\Run: [Outpost Firewall] D:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
        /waitservice
        O4 - HKLM\..\Run: [HP Software Update] D:\Program Files\HP\HP Software
        Update\HPWuSchd2.exe
        O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
        O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray
        O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program
        Files\HP\Digital Imaging\bin\hpqtra08.exe
        O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = D:\Program
        Files\HP\Digital Imaging\bin\hpqthb08.exe
        O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program
        Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
        D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
        O9 - Extra 'Tools' menuitem: Sun Java Console -
        {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program
        Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
        O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
        update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126986583374
        O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
        update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126986563765
        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
        skaner.mks.com.pl/SkanerOnline.cab
        O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -
        D:\WINDOWS\System32\Ati2evxx.exe
        O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
        O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum -
        D:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
        O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe

        Plik explorer.exe jest na dysku lecz przy próbie uruchomienia wyskakuje
        komunikat: System Windows nie może odnaleźć pliku...
        • Gość: Kolobos Re: Trojan IP: *.warszawa.sdi.tpnet.pl 23.10.05, 21:46
          Wiec wpisz pelna sciezke w uruchom:
          D:\Windows\explorer.exe
          Jezeli to nie pomoze to wypakuj plik exeplorer.exe z plyty instalacyjnej XP o
          tak:

          Start->Uruchom->cmd
          i wpisz tam:
          expand X:\i386\explorer.ex_ D:\Windows\explorer.exe
          oczywiscie za X wstaw swoja literke cdromu.

          Uruchom tez regedit przejdz do:
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
          i zobacz czy masz tam wartosc shell ustawiona na explorer.exe ?

          • Gość: bee Re: Trojan IP: 80.51.250.* 23.10.05, 22:19
            Po wpisaniu D:\Windows\explorer.exe nadal system nie potrafił odnaleźć pliku.
            Rozpakowałem wg instrukcji (tzn. nie poprzez start->uruchom ponieważ nie mam
            "start" tylko uruchomiłem cmd w menadżerze zadań).
            Po wypakowaniu doastałem komunikat:
            Rozszerzanie e:\i386\explorer.ex_ do d:\windows\explorer.exe
            e:\i386\explorer.ex_: rozszerzono bajtów: 343787 do 1002496, przyrost o 191%.

            Chyba pozostaje tylo reinstall :(
          • Gość: bee Re: Trojan IP: 80.51.250.* 23.10.05, 22:34
            aha zapomniałem dopisać że w rejestrze jest wpis shell ->explorer.exe i nadal nic
            • Gość: Kolobos Re: Trojan IP: *.warszawa.sdi.tpnet.pl 23.10.05, 23:10
              Sprobuj jeszcze:
              Start->Uruchom->sfc /scannow
              • Gość: bee Re: Trojan IP: 80.51.250.* 23.10.05, 23:34
                niestety po przeskanowaniu nic się nie pojawiło. żadnych zmian.
                • Gość: Kolobos Re: Trojan IP: *.warszawa.sdi.tpnet.pl 27.10.05, 11:39
                  Wkle log z www.silentrunners.org/Silent%20Runners.vbs
                  o ile to jeszcze aktualne :-)
    • Gość: amigo Re: Trojan IP: *.pl / *.netbase.pl 12.11.05, 13:52
      dzisiaj AVPersonal wykrył;
      1/ Is the Trojan horse TR/Agent.EY.3! w perfmnt.exe i następnie zmieniłem nazwę
      zainfekowanego pliku.
      2/ WORM/SdBot.64512.15! w C:\WINDOWS\MSSTL.EXE - plik został przeniesiony
      skutek mam taki sam jak "bee" a porady nic nie poskutkowały. Pomocy!!!
      • Gość: Kolobos Re: Trojan IP: *.warszawa.sdi.tpnet.pl 12.11.05, 14:54
        Wiec wklej log z Sillent Runners.
        • Gość: amigo Re: Trojan IP: *.pl / *.netbase.pl 12.11.05, 15:58
          Oto ta treść .
          Może to pomoże!!!

          "Silent Runners.vbs", revision 41, www.silentrunners.org/
          Operating System: Windows XP
          Output limited to non-default values, except where indicated by "{++}"


          Startup items buried in registry:
          ---------------------------------

          HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
          "WITaj!" = "D:\Narzędzia\WITaj!\Wit2000.exe /jeden /prywatne" ["Haudek"]
          "MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]

          HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
          "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
          "AVGCtrl" = ""d:\Program Files\AVPersonal\AVGNT.EXE" /min" ["H+BEDV
          Datentechnik GmbH"]
          "HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3
          \hpztsb04.exe" ["HP"]
          "PDF Converter Registry Controller" = ""D:\Biurowe\PDF
          conv\RegistryController.exe"" ["ScanSoft, Inc."]
          "PDFConverterReminder" = ""D:\Biurowe\PDFCON~1\EReg\EReg.exe" -
          r "D:\Biurowe\PDFCON~1\EReg\ereg.ini"" ["ScanSoft, Inc."]

          HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
          {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from
          CLSID]
          -> {CLSID}\InProcServer32\(Default) = "D:\Biurowe\Acrobat
          Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
          {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper"
          [from CLSID]
          -> {CLSID}\InProcServer32\(Default) = "c:\program
          files\google\googletoolbar2.dll" ["Google Inc."]

          HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
          "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania
          wyświetlania"
          -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
          "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
          -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll"
          ["Hilgraeve, Inc."]
          "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop
          Icon Handler"
          -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11
          \MLSHEXT.DLL" [MS]
          "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom
          Icon Handler"
          -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11
          \OLKFSTUB.DLL" [MS]
          "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
          -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft
          Office\OFFICE11\msohev.dll" [MS]
          "{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
          -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Common
          Files\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
          "{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
          -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Common
          Files\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
          "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
          -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
          "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
          -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
          "{71F3F4F2-CF91-478a-B0DA-54847FF1BC3A}" = "ScanSoft PDF Converter Shell
          Extension"
          -> {CLSID}\InProcServer32\(Default) = "D:\Biurowe\PDF conv\ShellExt.dll"
          ["ScanSoft, Inc."]

          HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
          INFECTION WARNING! explorer.exe\Debugger = "C:\WINDOWS\System32\perfmnt.exe"
          [file not found]

          HKLM\Software\Classes\PROTOCOLS\Filter\
          INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
          -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Common
          Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

          HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
          AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
          -> {CLSID}\InProcServer32\(Default) = "d:\Program
          Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]

          HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
          AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
          -> {CLSID}\InProcServer32\(Default) = "d:\Program
          Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]


          Active Desktop and Wallpaper:
          -----------------------------

          Active Desktop is disabled at this entry:
          HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

          HKCU\Control Panel\Desktop\
          "Wallpaper" = "C:\Documents and Settings\Pawel\Ustawienia lokalne\Dane
          aplikacji\Microsoft\Wallpaper1.bmp"


          Enabled Screen Saver:
          ---------------------

          HKCU\Control Panel\Desktop\
          "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


          Startup items in "Pawel" & "All Users" startup folders:
          -------------------------------------------------------

          C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
          "IrDA Monitor" -> shortcut to: "C:\Program Files\IrCOMM2k\irmon2k.exe" ["Jan
          Kiszka"]


          Winsock2 Service Provider DLLs:
          -------------------------------

          Namespace Service Providers

          HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5
          \Catalog_Entries\ {++}
          000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
          000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
          000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

          Transport Service Providers

          HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9
          \Catalog_Entries\ {++}
          0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
          %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 14
          %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


          Toolbars, Explorer Bars, Extensions:
          ------------------------------------

          Toolbars

          HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
          "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
          -> {CLSID}\InProcServer32\(Default) = "c:\program
          files\google\googletoolbar2.dll" ["Google Inc."]

          HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
          "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
          -> {CLSID}\InProcServer32\(Default) = "c:\program
          files\google\googletoolbar2.dll" ["Google Inc."]

          HKLM\Software\Microsoft\Internet Explorer\Toolbar\
          "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
          -> {CLSID}\InProcServer32\(Default) = "c:\program
          files\google\googletoolbar2.dll" ["Google Inc."]

          Extensions (Tools menu items, main toolbar menu buttons)

          HKLM\Software\Microsoft\Internet Explorer\Extensions\
          {92780B25-18CC-41C8-B9BE-3C9C571A8263}\
          "ButtonText" = "Badanie"


          Running Services (Display Name, Service Name, Path {Service DLL}):
          ------------------------------------------------------------------

          AntiVir Service, AntiVirService, ""D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE""
          ["H+BEDV Datentechnik GmbH"]
          AntiVir Update, AVWUpSrv, ""d:\Program Files\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV
          Datentechnik GmbH, Germany"]
          BusinessC, BusinessContinuity, ""C:\WINDOWS\msstl.exe"" [null data]
          Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


          Print Monitors:
          ---------------

          HKLM\System\CurrentControlSet\Control\Print\Monitors\
          hpzlnt04\Driver = "hpzlnt04.dll" ["HP"]


          ----------
          + This report excludes default entries except where indicated.
          + To see *everywhere* the script checks and *everything* it finds,
          launch it from a command prompt or a shortcut with the -all parameter.
          + To search all directories of local fixed drives for DESKTOP.INI
          DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
          use the -supp parameter or answer "No" at the first message box.
          --------
          • Gość: Kolobos Re: Trojan IP: *.warszawa.sdi.tpnet.pl 12.11.05, 16:31
            Sciagnij z google killbox zaznacz delete on reboot i wybierz ten plik:
            C:\WINDOWS\msstl.exe
            Nastepnie hijackthis -> delete nt service wpisz BusinessContinuity

            Uruchom regedit przejdz do:
            HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
            i usun tam:
            explorer.exe\Debugger = "C:\WINDOWS\System32\perfmnt.exe"

            Explorer powinien sie juz normalnie uruchomic.
        • Gość: amigo Re: Trojan IP: *.pl / *.netbase.pl 12.11.05, 18:27
          Wygrana!!
          explorer sie pojawił, ale zdechła mysz (3D optical)
          W miedzyczasie skanowałem mks-virem:

          ; -------
          • Gość: Kolobos Re: Trojan IP: *.warszawa.sdi.tpnet.pl 12.11.05, 18:35
            Usun te pliki:
            C:\WINDOWS\system32\cd_clint.dll(1).VIR <- Adware.Cydoor Brak akcji
            C:\WINDOWS\system32\cd_htm.dll(1).VIR <- Adware.Cydoor Brak akcji
            C:\WINDOWS\system32\remon.sys <- ZNALEZIONO : Trojan.Rootkit.Agent.Ab
            C:\WINDOWS\system32\slssystem.exe <- ZNALEZIONO : Trojan.Rbot.Mg
            W razie problemow uzyj killbox z opcja delete on reboot.

            O remon poczytaj tutaj:
            www.searchengines.pl/phpbb203/index.php?showtopic=6745&st=0&p=217687&#entry217687
            • Gość: amigo Re: Trojan IP: *.pl / *.netbase.pl 12.11.05, 19:13
              Aha!
              Zginęła z ctrl+p zainstalowana drukarka.
              Ale tym i ostatnią poradą powalczę jutro.
              dzb dzb
            • Gość: amigo Re: Trojan IP: *.pl / *.netbase.pl 13.11.05, 18:42
              Doinstalowałem z płytki drukarkę
              pousuwałem zarażone pliki
              Wszystko działa - nawet padnięta mysz optyczna.

              Kolobos jesteś wielki.
              Dzb, dzb!
Pełna wersja