Wirus - nie dziala menadzer i regedit

[kjomaa]

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:27:37, on 2009-10-06
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe
C:\winnt\system32\winlogon.exe
C:\winnt\system32\services.exe
C:\winnt\system32\lsass.exe
C:\winnt\System32\termsrv.exe
C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\winnt\system32\svchost.exe
C:\winnt\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\cba\pds.exe
C:\Program Files\InterBase Corp\InterBase\bin\ibguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\winnt\System32\llssrv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
c:\SKID\nserv32.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\winnt\system32\HPZipm12.exe
C:\winnt\system32\regsvc.exe
C:\winnt\System32\snmp.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\winnt\System32\svchost.exe
C:\winnt\System32\ups.exe
C:\winnt\System32\WBEM\WinMgmt.exe
C:\winnt\system32\svchost.exe
C:\winnt\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\winnt\system32\ams_ii\hndlrsvc.exe
C:\winnt\system32\MsgSys.EXE
C:\winnt\system32\ams_ii\iao.exe
C:\winnt\system32\cba\xfr.exe
C:\WINNT\System32\msdtc.exe
C:\winnt\system32\winlogon.exe
C:\Program Files\InterBase Corp\InterBase\bin\ibserver.exe
C:\winnt\system32\winlogon.exe
C:\winnt\Explorer.EXE
C:\winnt\system32\wuauclt.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\miniSAN\LwCtrl.exe
C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\winweigy.exe
C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\winfdpc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Pulpit\HiJackThis.exe
C:\winnt\system32\HPBPRO.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit=C:\winnt\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [HPLJ Config] C:\Program Files\Hewlett-Packard\hp LaserJet 1150_1300\SetConfig.exe -c Direct -p IP_192.168.1.90 -pn "hp LaserJet 1150 PCL 5e" -n 0 -l 1045 -sl 120000
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: miniSAN.lnk = C:\Program Files\miniSAN\LwCtrl.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrator\windows\system32\rnr20.dll' missing
O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - http://cached.gamedesire.com/g_bin/pl/cards_2_0_0_78.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232090920921
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://modules.sofaware.com/msrdp.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://cached.gamedesire.com/g_bin/pl/words_2_0_0_52.cab
O16 - DPF: {BFA1F11D-AFE1-3121-4112-894323212DAC} (GameDesire Word Games) - http://cached.gamedesire.com/g_bin/pl/words_2_0_0_54.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - http://195.140.237.243/activex/AMC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F82AA2AC-8ED4-4FDB-8571-150C1B65452C}: NameServer = 192.168.1.254,194.204.159.1
O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) - VERITAS Software Corp. - C:\winnt\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InstallShield Licensing Service - Macrovision                                                     - C:\Program Files\Common Files\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: Intel Alert Handler - Intel® Corporation - C:\winnt\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - Intel® Corporation - C:\winnt\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\winnt\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\system32\cba\pds.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - InterBase Software Corp. - C:\Program Files\InterBase Corp\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - InterBase Software Corp. - C:\Program Files\InterBase Corp\InterBase\bin\ibserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MacroBASE - Unknown owner - c:\SKID\nserv32.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\winnt\system32\HPZipm12.exe
O23 - Service: RdnaoFlSvc - Unknown owner - C:\Program Files\rnamfler\naofsvc.exe (file missing)
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\TightVNC\WinVNC.exe (file missing)

--
End of file - 8385 bytes

[NieWiem]

Daj loga z ComboFixa.

[ToServeAndProtect]

Witam
mam straszny problem z dwoma serwerami Win 2000 i Win 2003,
na obu wystepuje plik autorun.inf

na obu nie moge odpalic menadzera ani regedit, ani ustawic pokaz Ukryte pliki i pliki systemowe

Combofix sie nie odpala, przy uruchomieniu daje komunikat "Nie mozna odnalezc pliku Nircmdb.exe. Upewnij sie ze podana sciezka jest poprawna".

Skanuje roznym programami, znajduje zarazone pliki leczy i nadal to samo


Co dalej zrobic

Dodano Dzisiaj, 14:51:
MAm log z Malware:

Kod: Zaznacz wszystko

Malwarebytes' Anti-Malware 1.41
Wersja bazy definicji: 2914
Windows 5.0.2195 Service Pack 4

2009-10-06 12:21:07
mbam-log-2009-10-06 (12-21-07).txt

Typ skanowania: Pełne skanowanie (C:\|F:\|G:\|)
Przeskanowane obiekty: 239698
Upłynęło: 1 hour(s), 9 minute(s), 13 second(s)

Zainfekowane procesy w pamięci: 1
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 0
Zainfekowane wartości rejestru: 0
Zainfekowane pliki rejestru: 5
Zainfekowane foldery: 0
Zainfekowane pliki: 2

Zainfekowane procesy w pamięci:
C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\winweigy.exe (Trojan.Agent) -> Failed to unload process.

Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:
(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:
(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Zainfekowane foldery:
(Nie wykryto groźnych plików)

Zainfekowane pliki:
C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\winweigy.exe (Trojan.Agent) -> Delete on reboot.
C:\32788R22FWJFW\Combo-Fix.sys (Worm.Agent) -> Quarantined and deleted successfully.

[wojtas]

pewnie masz Sality poczytaj i zastosuj

http://www.searchengines.pl/Infekcje-plikow-wykonywalnych-exe-dll-scr-t122692.html

Usuwanie infekcji plików wykonywalnych bez formatu chodz takie infekcje konczą sie najczęściej formatem ale sporbujemy

[kjomaa]

Witam ponownie,
przejrzalam temat,
pytanie pierwsze ktore mi nachodzi to: skad sie to bierze i jak sie roznosi?

chyba to bedzie Sality bo zgodnie z opisem na podanym linku mam wpis:

Kod: Zaznacz wszystko

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Sprobuje utowrzyc plyte DR. Web Live CD i przeskanowac wszsytko z boot

(tylko w tym opisie znalazlam ze nadaje sie do Windows)

na razie dzieki , to pewnie troche potrwa, jesli macie jeszcze jakies porady to poprosze
moze jakas szczepionka typowa jest na tą Sality ?

[lukas1990]

Na starsze mutacje Sality były szczepionki, ale ta infekcja ewoluuje i obecnie już jej raczej nie usuwają... chociaż jak chcesz to możesz spróbować: klik.

Najlepszym pomysłem, jeśli się chcesz obejść bez formatu, jest próba z Dr Web LiveCD, ale ona też nie zawsze jest skuteczna. Wtedy tylko format wszystkich partycji bez backupu plików wykonywalnych.