złośliwy kod jako svchost

Agent Dołu · Kwiecień 14, 2010

Dzisiaj rano uruchomiwszy peceta i połączywszy się z siecią, firewall zasygnalizował mi próbę połączenia się z internetem aplikacji "." (kropka)

co od razu uznałem, a coś podejrzanego.

A co następuje:

owa aplikacja odnosiła się do svchost w C:\documents and settings\moja nazwa użytkownika\dane aplikacji

w opcjach msconfig pojawiła się w uruchamianiu jakaś "bezimienna" opcja, która odnosiła się do tamtej lokalizacji,

jej odznaczenie spowodowało jej zniknięcie.

W firewallu dalej figuruje, ale ją zablokowałem na stałe.

Kompa nie muli, nie pomnaża się, nie zużywa nadmiaru zasobów.

Problem w tym, że zaglądam tam, gdzie jakoby ma być i nic tam nie na

Założyłem nowy temat z tym nieszczęsnym procesem bowiem, w poprzednich zawsze objawia się inaczej i inaczej go usuwali.

skanuję system Malwarebytes` antimalware.

poniżej wklejam HijackThis log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:32:04, on 2010-04-14

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\OCHRONA\AVAST\aswUpdSv.exe

C:\Program Files\OCHRONA\AVAST\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\JWPEN.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\lxdecoms.exe

C:\WINDOWS\system32\nvsvc32.exe

c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe

C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\OCHRONA\AVAST\ashDisp.exe

C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Lexmark 4800 Series\lxdemon.exe

C:\Program Files\Lexmark 4800 Series\lxdeamon.exe

C:\Program Files\OCHRONA\AVAST\ashMaiSv.exe

C:\Program Files\OCHRONA\AVAST\ashWebSv.exe

C:\Program Files\Common Files\Nikon\Monitor\NkMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\DAEMON Tools Lite\DTLite.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\SAGEM WiFi manager\WLANUTL.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\taskmgr.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mewsoft.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {AE7531ED-61C7-4012-99EF-A94DF5565FE1} - C:\SPIDER\BrowserHelper.dll (file missing)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\OCHRONA\AVAST\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [lxdemon.exe] "C:\Program Files\Lexmark 4800 Series\lxdemon.exe"

O4 - HKLM\..\Run: [lxdeamon] "C:\Program Files\Lexmark 4800 Series\lxdeamon.exe"

O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [Nikon Transfer Monitor] C:\Program Files\Common Files\Nikon\Monitor\NkMonitor.exe

O4 - HKLM\..\Run: [Microsoft Corp] C:\Documents and Settings\Strielok\Dane aplikacji\svchosts.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [Microsoft Corp] C:\Documents and Settings\Strielok\Dane aplikacji\svchosts.exe

O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Corp] C:\Documents and Settings\Strielok\Dane aplikacji\svchosts.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O4 - Global Startup: Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: Atomic Web Spider - C:\SPIDER\hswde.htm

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Atomic Web Spider - {E7B2D8B2-1F16-4F27-BFA1-194320F50358} - C:\SPIDER\wdeui_pr.dll (file missing)

O9 - Extra 'Tools' menuitem: Atomic Web Spider - {E7B2D8B2-1F16-4F27-BFA1-194320F50358} - C:\SPIDER\wdeui_pr.dll (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\OCHRONA\Ad-Aware\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\OCHRONA\AVAST\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\OCHRONA\AVAST\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\OCHRONA\AVAST\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\OCHRONA\AVAST\ashWebSv.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: HWSuperPowerTablet - HanWang - C:\WINDOWS\system32\JWPEN.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: lxdeCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdeserv.exe

O23 - Service: lxde_device - - C:\WINDOWS\system32\lxdecoms.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

--

End of file - 9519 bytes

Sevard · Kwiecień 14, 2010

Dobra, daj log z Malwarebytes' Anti-Malware. Ponadto ściągnij i uruchom OTL, pozaznaczaj opcje: Scan All Users, LOP Check, Purity Check. Zaznacz też opcję Use Safelist w Extra registry. Wklej oba wygenerowane przez OTL logi. No i przydałby się jeszcze log z GMERa.

Agent Dołu · Kwiecień 14, 2010

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

Wersja bazy: 3986

Windows 5.1.2600 Dodatek Service Pack 2

Internet Explorer 6.0.2900.2180

2010-04-14 13:13:40

mbam-log-2010-04-14 (13-13-40).txt

Typ skanowania: Pełne skanowanie (C:\|)

Przeskanowano obiektów: 209668

Upłynęło: 2 godzin(y), 2 minut(y), 32 sekund(y)

Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 1

Zainfekowanych wartości rejestru: 3

Zainfekowane informacje rejestru systemowego: 0

Zainfekowanych folderów: 0

Zainfekowanych plików: 5

Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe (Trojan.Chifrax) -> Quarantined and deleted successfully.

Zainfekowanych wartości rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft corp (Trojan.Crypt) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft corp (Trojan.Crypt) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft corp (Trojan.Crypt) -> Quarantined and deleted successfully.

Zainfekowane informacje rejestru systemowego:

(Nie znaleziono zagrożeń)

Zainfekowanych folderów:

(Nie znaleziono zagrożeń)

Zainfekowanych plików:

C:\Documents and Settings\Strielok\Dane aplikacji\svchosts.exe (Trojan.Crypt) -> Quarantined and deleted successfully.

C:\Documents and Settings\Strielok\Ustawienia lokalne\Temp\Adobe CS4 Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\Strielok\Ustawienia lokalne\Temp\key.exe (Trojan.Crypt) -> Quarantined and deleted successfully.

C:\Documents and Settings\Strielok\Ustawienia lokalne\Temp\Rar$EX00.890\Keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.

C:\Documents and Settings\Strielok\Ustawienia lokalne\Temp\Setup.exe (Trojan.Chifrax) -> Quarantined and deleted successfully.

OTL EXTRAS

http://wklej.org/id/315708/

OTL:

http://wklej.org/id/315709/

Sevard · Kwiecień 14, 2010

C:\WINDOWS\system32\jwpen.exe

Cóż to za zwierz? Sprawdź ten plik na VirusTotal.

Podobnie sprawdź

C:\WINDOWS\system32\drivers\oreans32.sys

To może być normalny program, ale nie musi, więc lepiej sprawdzić.

Dalej, skoro użyłeś Combofixa, to poproszę o log, który ten program wygenerował przy poprzednim użyciu.

Wszystkie używane ostatnio pamięci przenośne wyczyść ze szkodników za pomocą programu Flash Disinfector.

W Custom Scans/Fixes w OTL wklej to co poniżej:

:Processes

killallprocesses


:OTL

O33 - MountPoints2\{a248ee6d-1a31-11df-93ba-0060b3054088}\Shell\AutoRun\command - "" = N:\mi9al8rs.exe -- File not found

O33 - MountPoints2\{a248ee6d-1a31-11df-93ba-0060b3054088}\Shell\open\Command - "" = N:\mi9al8rs.exe -- File not found

O33 - MountPoints2\{dd577490-2110-11df-93c9-0060b3054088}\Shell\AutoRun\command - "" = N:\mi9al8rs.exe -- File not found

O33 - MountPoints2\{dd577490-2110-11df-93c9-0060b3054088}\Shell\open\Command - "" = N:\mi9al8rs.exe -- File not found

O33 - MountPoints2\{faf3a827-ff62-11de-9396-0060b3054088}\Shell\AutoRun\command - "" = N:\fk.exe -- File not found

O33 - MountPoints2\{faf3a827-ff62-11de-9396-0060b3054088}\Shell\open\Command - "" = N:\fk.exe -- File not found

O33 - MountPoints2\{faf3a858-ff62-11de-9396-0060b3054088}\Shell - "" = AutoRun

O33 - MountPoints2\{faf3a858-ff62-11de-9396-0060b3054088}\Shell\AutoRun\command - "" = N:\LaunchU3.exe -- File not found



:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]


:Commands

[emptytemp]

i kliknij run fix. Wrzuć na forum log z tej operacji.

Ponadto otrzymujesz ostrzeżenie za piractwo:

C:\Documents and Settings\Strielok\Ustawienia lokalne\Temp\Adobe CS4 Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Agent Dołu · Kwiecień 20, 2010

Wróciłem.

Będę musiał przeskanować dyski jeszcze raz

Bydle dalej wyskakuje, znaczy jest. A chce się dowiedzieć co wywalić, zanim włączę nowy dysk bo mam na nim dokładną kopię wszystkiego co na pierwszym

W tym drugim pliku

C:\WINDOWS\system32\drivers\oreans32.sys

virustotal

podał wynik 2/40

nProtect 2010-04-18.01 2010.04.18 Trojan/W32.Agent.33824

Rising 22.43.06.03 2010.04.18 RootKit.Win32.Undef.crx

A ten keygen?

Się miało żeby mieć. Jak to dzieci. Z resztą nie ważne, głupota i tyle (moja, żeby nie było )

Sevard · Kwiecień 20, 2010

A co z tym plikiem jwpen.exe. Daj jeszcze log z GMERa.

Zaloguj się

Zarchiwizowany

złośliwy kod jako svchost

Polecane posty

Agent Dołu

Link do komentarza

Udostępnij na innych stronach

Sevard

Link do komentarza

Udostępnij na innych stronach

Agent Dołu

Link do komentarza

Udostępnij na innych stronach

Sevard

Link do komentarza

Udostępnij na innych stronach

Agent Dołu

Link do komentarza

Udostępnij na innych stronach

Sevard

Link do komentarza

Udostępnij na innych stronach

Kto przegląda 0 użytkowników

CD-Action

Przeglądaj

Aktywność