win32.rootkit

2

win32.rootkit

offline
  • DEMIAN  Male
  • Legendarni građanin
  • IT Manager
  • Pridružio: 25 Mar 2005
  • Poruke: 3706
  • Gde živiš: The darkest place on earth..

Ok. Daj da proverimo samo da li joj se ne pojavljuje ova linija u logu kao sto si mi i rekao.

O4 - HKCU\..\Run: [strkjhk] C:\WINDOWS\bdir\sdflkj3.exe

Neka postavi nov log da ga proverim jos jednom. Ostalo sam ti vec napisao u Shadow Board-u. Citamo se kasnije..

offline
  • Pridružio: 01 Okt 2003
  • Poruke: 2383
  • Gde živiš: Beograd

Evo ga jos jednom....


Logfile of HijackThis v1.99.1
Scan saved at 14:43:38, on 13.6.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\VTTimer.exe
C:\WINDOWS\System32\VTtrayp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\PTBSync\PTBSync.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Poppeeper\POPPeeper.exe
C:\Program Files\Weather Watcher\ww.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\WordWeb\wweb32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\HijackThis\josjednom.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.finderg.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\en-us\msntb.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [PTBSync] C:\Program Files\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [POP Peeper] "C:\Program Files\Poppeeper\POPPeeper.exe" -min
O4 - HKCU\..\Run: [WeatherWatcher] C:\Program Files\Weather Watcher\ww.exe
O4 - Startup: WordWeb.lnk = C:\Program Files\WordWeb\wweb32.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

offline
  • DEMIAN  Male
  • Legendarni građanin
  • IT Manager
  • Pridružio: 25 Mar 2005
  • Poruke: 3706
  • Gde živiš: The darkest place on earth..

Sad log izgleda cisto. Znaci da nema vidljive infekcije ili bilo cega sto bi asociralo na istu.
Onaj rootkit drajver si izbrisala pomocu SDFix-a - video sam po logovima.

Znam da si danas skenirala racunar ponovo Kasperskim iz Safe mod-a i da nije nista novo pronasao. Reci mi samo da li imas jos neki manifest te infekcije na koju si se zalila ?

Jesi li koristila neki online scan u medjuvremenu ?

offline
  • Pridružio: 18 Dec 2003
  • Poruke: 7953
  • Gde živiš: Graceland

Odogovoricu ja za SAnju.

Manifestovao se na mnogo nacina: nije joj radio Avant (prvi simptom), kasnije, nije hteo ni da otpakuje ni rar ni zip koji sam joj slao, trazio je lozinku za zip, a za rar javljao da nema mesta... Nije dozvoljavo promenu imena fajlova itd...

Sad radi online scan Bitdefender.

offline
  • DEMIAN  Male
  • Legendarni građanin
  • IT Manager
  • Pridružio: 25 Mar 2005
  • Poruke: 3706
  • Gde živiš: The darkest place on earth..

Cekaj.. To joj se i danas (sada/jos uvek) desava iako smo obrisali ovo sve ili to pricas za juce ?

Ja sam te drugacije razumeo kada smo pisali ono oko 12 danas popodne. Confused

offline
  • Pridružio: 01 Okt 2003
  • Poruke: 2383
  • Gde živiš: Beograd

Nije legi dobro napisao, to mi se sve juce desavalo, danas nije nista bilo sumnjivo, a i nije komp bio dugo upaljen, samo ono sto ste trazili logove da ostavim i to je to. evo sad mi radi jos bitdefender....

offline
  • DEMIAN  Male
  • Legendarni građanin
  • IT Manager
  • Pridružio: 25 Mar 2005
  • Poruke: 3706
  • Gde živiš: The darkest place on earth..

Kapiram. Nesporazum je u pitanju.. Smile

Samo postuj rezultate skeniranja (bez novog HJT loga - da ne bude zabune) i ako je sve u redu mogu da ti potvrdim da ti je racunar cist.

U svakom slucaju kada zavrsimo ovaj proces ciscenja preporucujem ti da sto pre instaliras SP2 za XP (radis update Windows-a redovno) i takodje uradis i upgrade Jave jer imas staru verziju.
U suprotnom mozes da racunas da cemo se videti ovde sa nekom novom infekcijom veoma brzo.. Bukvalno - dzabe ti i AV i sve od zastite sto imas na kompu bez ovoga sto sam ti napisao gore.

offline
  • Pridružio: 01 Okt 2003
  • Poruke: 2383
  • Gde živiš: Beograd

Citat:Samo postuj rezultate skeniranja (bez novog HJT loga - da ne bude zabune)


Znaci bez hjt?!....

Ovo su rezultati bitdefendera....
https://www.mycity.rs/must-login.png

a ovo mi je log od ewido anti-spyware....


__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Advertising
Path: C:\Documents and Settings\Administrator\Cookies\administrator@advertising[2].txt
Risk: Medium

Name: TrackingCookie.Netflame
Path: C:\Documents and Settings\Administrator\Cookies\administrator@ssl-hints.netflame[1].txt
Risk: Medium

Name: Adware.Generic
Path: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Risk: Medium

I to kad je nasao sta je nasao ja sam uradila remove infections.

offline
  • DEMIAN  Male
  • Legendarni građanin
  • IT Manager
  • Pridružio: 25 Mar 2005
  • Poruke: 3706
  • Gde živiš: The darkest place on earth..

Ovo je procistilo racunar mozda i vise nego sto je trebalo.
Ovo gde pise Joke u nazivu detekcije nije maliciozno kao ni ona alatka za otkrivanje passworda. Onaj Trojan.Kirsun.A jeste maliciozan.

Moraces da reinstaliras Mirc i Cliprex DVD Player. Preporucio bih ti da koristis onaj zvanicni mirc i da izbegavas neproverene chat skripte jer je moguce da neke od njih sadrze backdor koji ti kasnije dovuce neku infekciju na komp. Ovaj player ako ti je bas neophodan reinstaliraj takodje ali pokusaj da ne istaliras SaveNow adware koji dolazi sa njim. Nisam ga koristio ali pretpostavljam da je instalicija adware-a opciona.

Sto se ostalog sto je detektovano tice nemas potrebe da brines. Update-uj Windows i Javu kao sto sam ti napisao u predhodnom postu i to bi trebalo da bude sve sto se ovog ciscenja tice..

Tema ce biti ovde jos bar nedelju dana, pa ako imas bilo kakav problem sa racunarom slobodno obavesti..

Pozz

offline
  • Pridružio: 01 Okt 2003
  • Poruke: 2383
  • Gde živiš: Beograd

Citat:Moraces da reinstaliras Mirc i Cliprex DVD Player

Oni ni nisu instalirani. To se sve nalazi na particiji D gde drzim sve programe koje koristim/nekoristim, znaci tu su ako zatrebaju, cisto da ih imam.
Da ih brisem sa D-a?!

Citat:Onaj Trojan.Kirsun.A jeste maliciozan

Da li je to znaci da treba jos nesto da obrisem ili...?!

Na kraju, jedno veliko HVALA svima koji su mi pomogli a cim se sretnemo castim pice za ulozen trud i veliku pomoc!!!

Ko je trenutno na forumu
 

Ukupno su 386 korisnika na forumu :: 6 registrovanih, 1 sakriven i 379 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: bato, Kristian_KG, kybonacci, Mr.G., vranjanac29, Živković