Rboot.Backdoor.aeu i inne dziwne rzeczy

04.02.07, 19:58
AVG Anti-Spyware wykrywa mi za każdym połączeniem z netem coś takiego. Poza
tym kiedy nie ściągam żadnych plików to coś mi się non-stop wysyłała. Proszę o
pomoc. avast nic nie wykrywa, arca microscan też nie... aha i jeszcze
pojawiają mi się programiki a różnych dziwnych nazwach np. fhdjkfd.exe (każdy
o rozmiarze 57 kb) w wiele folderach na dysku.
Proszę o pomoc, bo sam już nie wiem co mam robić...
    • Gość: @ Re: Rboot.Backdoor.aeu i inne dziwne rzeczy IP: *.chello.pl 04.02.07, 20:07
      forum.gazeta.pl/forum/72,2.html?f=430&w=38051058
    • Gość: Kolobos Re: Rboot.Backdoor.aeu i inne dziwne rzeczy IP: *.escom.net.pl 04.02.07, 21:13
      W jakim pliku masz tego backdoor'a? Wklej tez oczywiscie log z hijackthis.
      • benjaminblimchen Re: Rboot.Backdoor.aeu i inne dziwne rzeczy 04.02.07, 21:21
        Logfile of HijackThis v1.99.1
        Scan saved at 20:50:08, on 2007-02-04
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\csrss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
        C:\Program Files\UPS Monitor Client\upsc20.exe
        C:\Program Files\Ahead\InCD\InCDsrv.exe
        C:\WINDOWS\System32\irdvxc.exe
        C:\Program Files\Winamp\winampa.exe
        C:\WINDOWS\System32\wfxsnt40.exe
        C:\WINDOWS\System32\urdvxc.exe
        C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
        C:\Program Files\Spyware Doctor\sdhelp.exe
        C:\Program Files\Ahead\InCD\InCD.exe
        C:\PROGRA~1\NEOSTR~1\CnxMon.exe
        C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
        C:\Program Files\QuickTime\qttask.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\System32\wdfmgr.exe
        C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        C:\WINDOWS\System32\WFXSVC.EXE
        C:\Program Files\Symantec\WinFax\WFXMOD32.EXE
        C:\Program Files\Spyware Doctor\swdoctor.exe
        C:\Program Files\Symantec\WinFax\WFXCTL32.EXE
        C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
        C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
        C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
        C:\Program Files\Winamp\winamp.exe
        C:\WINDOWS\System32\mysvcc.exe
        C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        C:\Program Files\Neostrada TP\NeostradaTP.exe
        C:\Program Files\Neostrada TP\ComComp.exe
        C:\Program Files\Neostrada TP\Watch.exe
        C:\WINDOWS\System32\rasautou.exe
        D:\hijjackthis\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
        C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
        O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
        O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
        O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
        O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
        O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
        O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
        O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
        O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
        O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
        -atboottime
        O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG
        Anti-Spyware 7.5\avgas.exe" /minimized
        O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
        O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
        O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
        O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware
        Doctor\swdoctor.exe" /Q
        O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program
        Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
        O4 - Global Startup: Controller.LNK = C:\Program
        Files\Symantec\WinFax\WFXCTL32.EXE
        O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
        800-840\dslmon.exe
        O4 - Global Startup: hp psc 1000 series.lnk = ?
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
        Office\Office\OSA9.EXE
        O15 - Trusted Zone: arcaonline.arcabit.com
        O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) -
        arcaonline.arcabit.com/ArcaOnline.cab
        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashServ.exe
        O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashMaiSv.exe" /service (file missing)
        O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashWebSv.exe" /service (file missing)
        O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. -
        C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
        O23 - Service: UPS Monitor Client (client20) - Unknown owner - C:\Program
        Files\UPS Monitor Client\upsc20.exe
        O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
        Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel
        32\IDriverT.exe
        O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Program
        Files\Ahead\InCD\InCDsrv.exe
        O23 - Service: Network helper Service (MSDisk) - Unknown owner -
        C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
        O23 - Service: Network Windows Service (MSWindows) - Unknown owner -
        C:\WINDOWS\System32\urdvxc.exe" /service (file missing)
        O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
        O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd
        - C:\Program Files\Spyware Doctor\sdhelp.exe
        O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation -
        C:\WINDOWS\System32\WFXSVC.EXE
        • benjaminblimchen Re: Rboot.Backdoor.aeu i inne dziwne rzeczy 04.02.07, 21:24
          svchost.exe
          mysvcc.exe
          W tych plikach jest ten Backdoor.
          PS
          Przepraszam za zaśmiecanie forum.
          • benjaminblimchen Re: Rboot.Backdoor.aeu i inne dziwne rzeczy 05.02.07, 20:36
            kurcze nic nie pomogło :( dalej coś się wysyła pomimo, że nie jest włączona
            przeglądarka ani nic innego co korzystałoby z sieci. zo to spy-ware doctor
            wykrył jakieś nowy backdoory, ale co ciekawe kiedy otworzyłem katalog w którym
            miały sie one pojawić - nie było ich tam. aha po zamianie svchost.exe zniknęły
            mi połączenia sieciowe w panelu sterewanie (neostrada działa pomimo to)
        • Gość: Kolobos Re: Rboot.Backdoor.aeu i inne dziwne rzeczy IP: *.escom.net.pl 04.02.07, 22:06
          eh piracki windows bez aktualizacji, zamknij porty przy pomocy wwdc.exe, zainstaluj Opere i nie uzywaj wiecej Internet Explorer'a.

          W menadzerze zadan zakoncz:
          C:\WINDOWS\System32\mysvcc.exe

          W hjt usun:
          O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
          O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe

          Uslugi do kasacji:
          O23 - Service: Network helper Service (MSDisk) - Unknown owner -
          C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
          O23 - Service: Network Windows Service (MSWindows) - Unknown owner -
          C:\WINDOWS\System32\urdvxc.exe" /service (file missing)

          Po usunieciu uslug, usun oba wymienione pliki exe.

          Start->Uruchom->sc stop MSDisk
          oraz:
          sc stop MSWindows
          sc delete MSDisk
          sc delete MSWindows

          Jezeli tak jak piszesz backdoor wstrzyknal sie do svchost to bedzie trzeba przywrocic oryginalny plik z plyty instalacyjnej XP.

          Na poczatek wypakuj go sobie np. na C:\ o tak:
          Start->Uruchom->expand X:\i386\svchost.ex_ C:\svchost.exe
          Oczywiscie za X wstaw swoja litere cdromu.
          Nastepnie sciagnij sobie gmera (link w naglowku forum), uruchom
          w zakladce CMD wklej:
          DEL C:\WINDOWS\SYSTEM32\svchost.exe
          COPY C:\svchost.exe C:\Windows\system32\svchost.exe

          W zakladce procesy wybierz zabij wszystko, w zakladce cmd wybierz uruchom, na koniec w zakladce procesy restart i po resecie wszystko powinno juz byc ok.
    • benjaminblimchen Re: Rboot.Backdoor.aeu i inne dziwne rzeczy 05.02.07, 20:52
      i wklejam jeszcze najnowszego loga z hijackthis
      Logfile of HijackThis v1.99.1
      Scan saved at 20:50:21, on 2007-02-05
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\UPS Monitor Client\upsc20.exe
      C:\Program Files\Ahead\InCD\InCDsrv.exe
      C:\Program Files\Spyware Doctor\sdhelp.exe
      C:\Program Files\Winamp\winampa.exe
      C:\WINDOWS\System32\wfxsnt40.exe
      C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
      C:\Program Files\Ahead\InCD\InCD.exe
      C:\PROGRA~1\NEOSTR~1\CnxMon.exe
      C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\wdfmgr.exe
      C:\WINDOWS\System32\WFXSVC.EXE
      C:\Program Files\Symantec\WinFax\WFXMOD32.EXE
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Spyware Doctor\swdoctor.exe
      C:\Program Files\Symantec\WinFax\WFXCTL32.EXE
      C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
      C:\WINDOWS\System32\HPZipm12.exe
      C:\Program Files\Neostrada TP\NeostradaTP.exe
      C:\Program Files\Neostrada TP\ComComp.exe
      C:\Program Files\Neostrada TP\Watch.exe
      C:\Program Files\Outlook Express\msimn.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\WINDOWS\System32\rasautou.exe
      D:\hijjackthis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
      C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
      C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
      O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
      O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
      O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
      O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
      O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
      -atboottime
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware
      7.5\avgas.exe" /minimized
      O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
      O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program
      Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Controller.LNK = C:\Program Files\Symantec\WinFax\WFXCTL32.EXE
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
      800-840\dslmon.exe
      O4 - Global Startup: hp psc 1000 series.lnk = ?
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
      Office\Office\OSA9.EXE
      O15 - Trusted Zone: arcaonline.arcabit.com
      O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) -
      arcaonline.arcabit.com/ArcaOnline.cab
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. -
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: UPS Monitor Client (client20) - Unknown owner - C:\Program
      Files\UPS Monitor Client\upsc20.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation
      - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Program
      Files\Ahead\InCD\InCDsrv.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
      O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd -
      C:\Program Files\Spyware Doctor\sdhelp.exe
      O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation -
      C:\WINDOWS\System32\WFXSVC.EXE

      Internet Exploler jest zainstalowany, ale używam Mozilli.
      • Gość: Kolobos Re: Rboot.Backdoor.aeu i inne dziwne rzeczy IP: *.escom.net.pl 06.02.07, 10:03
        Masz ups? Jezeli nie to ta usluga jest do kasacji:
        O23 - Service: UPS Monitor Client (client20) - Unknown owner - C:\Program Files\UPS Monitor Client\upsc20.exe , a katalog do usuniecia.

        Reszta jest ok.

        Czy dalej masz jakies trojany? W jakich plikach? Co wysyla i gdzie? (zobacz przy pomocy firewall'a).
Pełna wersja