win32:sdbot-gen 44 duzy problem

[Laren]

Witam , jest to moj debiut na tym forum i odrazu startuje z problemem:) ,mam nadzieje ze uda nam sie go wspolnie rozwiazac.
Mianowicie od dluzszego czasu walcze z trojanem Win32:Sdbot-gen44 , co go skasuje to pojawia sie na nowo, nawet po formacie systemu , sadze ze kopiuje sie on sam gdzies z internetu. Przypuszczenie wysnuwam stad iz co jakis czas firewall blokuje atak sieciowy i po niedlugim czasie avast wykrywa wirusa.
Zamieszcze pare screenow by dodatkowo rozjasnic sytuacje

http://img133.imageshack.us/img133/5562/capture10202006171434zt2.jpg
http://img133.imageshack.us/img133/2552/capture10202006173647no3.jpg

To 2 linki pokazujacy rzekomo zablkowane ataki sieciowe, to komunikat zone alarm avast skolei pokazuje cos takiego:
25.10.2006 10:10:21 LSASS Exploit (SXP) attack
from 192.168.42.54:445
25.10.2006 10:10:32 LSASS Exploit (SXP) attack
from 192.168.42.54:445

Zauwazam tu podobienstwo do trojanow typu saser lub blaster , nieznam sie specjalnie ale cos czytalem na ich temat , podobnie jak w ich wypadku rzadko ale pojawia sie blad po ktorym nastepuje odliczanie od 1 min w dol i zamkniecie systemu. Na poczatku dzialanosci tego trojana byl to blad lsass.exe a teraz wystepuje blad services.exe ( nie wiem czy zmiana bledu nie zgrala sie z czasem w ktorym zaczalem uzywac zone alarm).
Po wspomnianych atakach avast daje znak iz wykryl wirusa

http://img93.imageshack.us/img93/3487/capture10232006115609no2.jpg

jak widac na screenie trojan ten tworzy pliki eraseme_(liczba).exe w katalogu winnt oraz winnt/system32
Liczba plikow ktore tworzy drastycznie wzrasta, najpierw byl to jeden,dwa pliki teraz avast usuwa nawet i 5-6 naraz.
Wkleje teraz logi hijack'a oraz silent runnera , gdybym cos zle zrobil prosze mnie poprawic:) .

HIJACKTHIS

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 10:45:13, on 2006-10-25
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\system32\spoolsv.exe
d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
d:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mobsync.exe
d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\SOUNDMAN.EXE
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\kamil\totalcmd\TOTALCMD.EXE
C:\WINNT\system32\wuauclt.exe
D:\Program Files\Opera\Opera.exe
D:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
d:\Program Files\IrfanView\I_VIEW32.EXE
D:\tym\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "d:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161597640109
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - d:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe


Silentrunner

Kod: Zaznacz wszystko

"Silent Runners.vbs", revision 49, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"avast!" = "d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"SoundMan" = "SOUNDMAN.EXE" ["Avance Logic, Inc."]
"Zone Labs Client" = ""d:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup" [MS]
"ISUSPM Startup" = "C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup" ["InstallShield Software Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
  -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
  -> {HKLM...CLSID} = "avast"
                   \InProcServer32\(Default) = "d:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {HKLM...CLSID} = "Desktop Explorer"
                   \InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {HKLM...CLSID} = "nView Desktop Context Menu"
                   \InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
  -> {HKLM...CLSID} = "avast"
                   \InProcServer32\(Default) = "d:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
  -> {HKLM...CLSID} = "avast"
                   \InProcServer32\(Default) = "d:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"CDRAutoRun" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Active Desktop web content (hidden if disabled):

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Moja bieżąca strona główna"
"Source" = "About:Home"
"SubscribedURL" = "About:Home"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "(BRAK)" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""d:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""d:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
NVIDIA Display Driver Service, NVSvc, "C:\WINNT\System32\nvsvc32.exe" ["NVIDIA Corporation"]
System zdarzeń COM+, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
TrueVector Internet Monitor, vsmon, "C:\WINNT\system32\ZONELABS\vsmon.exe -service" ["Zone Labs, LLC"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
  took 20 seconds.
---------- (total run time: 55 seconds)


Bardzo prosze was o pomoc , jako ze wyczerpalem juz wszelkie pomysly i doszedlem do wniosku iz sam nie poradze sobie z tym problemem. Prosilbym by ewentualna pomoc napisac prostym jezykiem , bo mimo ze pracuje na komputerze od dawna to bezpieczenstwo komputera i radzenie sobie z ewentualnymi problemami zwiazanymi z wirusami nie sa mi w pelni znane. Jest to rowniez 1 raz kiedy uzylem programu hijack i silentrunner wiec prosze o wyrozumialosc:).
Obecnie uzywam do ochrony avasta, zone alarm,ad-aware.System win2000 z pelna aktualizacja

[Tom@szek]

Log masz czysty - w firewalu ustaw aby nie pokazywał Ci każdej blokady ( zbędne denerwowanie użytkownika ) a avast - no cóż , robi swoją robotę i to całkiem dobrze, system nie został zainfekowany więc jest wszystko OK.
Przenoś te trojany do kwarantanny lub usuwaj jeśli to możliwe.

[Laren]

Tylko problem jest taki ze nie zawsze odrazu avast reaguje i nie zawsze moze usunac dany plik, oraz pozostaje problem z restartem kompa co jakis czas . Zdarza sie rowniez dosyc czesto ze zwyczajnie mi zawiesza kompa nie mowiac juz o zwolnieniu pracy internetu.Dlatego tez szukam jakiegos rozwiazania , bo avast moze i usuwa ale watpie by w pelni bo czesc objawow pozostaje a trojan nawet usuniety pojawia szybko spowrotem.

PS
Jak ustawic w avascie by automatycznie usuwal wirusy bez komunikatu w firewallu juz mi sie udalo.

[Tom@szek]

Musisz w opcjach ustawic - nie przeos plikow do kwarantanny-automatycznie usuwaj. Nie mam avasta, ale powinno byc takie ustawienie.