Conficker?

[kryton]

Ahoj,

mám velkou a náročnou prosbu. Před časem jsem měl na některých serverech vir conficker. Po nainstalování NODa a odstraňování BitDefenderem to vypadalo, že zmizel. Tyto servery nebyly připojeny k internetu. Po čase se objevila služba ggkyjwh (viz přiložený screen), která nejde vypnout (disbale) a při každém spuštění Windows hlásí, že nebyla spuštěna. Jiné problemy nejsou(jako vysoká zátěž CPU apod.). NOD má poslední aktualizaci asi před půl rokem, ale jak říkám servery se vůbec nepřipojovaly k internetu a ten conficker tam pravděpodobně někdo přinesl notebookem či flashkou.

Můžete mi někdo poradit zda se jedná o virus? Popř. jak ho odstranit?

Budu vděčný za jakoukoliv informaci, protože servery jsou pryč a kromě toho screenu se k nim vůbec nedostanu ani vzdáleně, takže nemůžu poslat ani log z HJT.

Díky moc

[Reklama]

[Orcus]

Zdar,

bude potřeba se prohrabat v regedit k run klicim :)) Protoze tam bude pravdepodobne zakopanej pes:)

bude to tusim HKCU mozna HKLM - currentcontrolset - services

tam podle jmena dohledej sluzbu... zkus smazat klic.

Kdyz nepujde, tak takovej workaround je ten klic editovat a pri editovani natvrdo resetovat bednu - pak by mel jit ten klic po nabehnuti win odstranit :)

[Orcus]

kdyby neslo... postni sem log z autoruns http://technet.microsoft.com/en-us/sysi ... 63902.aspx

a pak z gmeru - http://www.gmer.net

[jaro3]

ggkyjwh-- to jestli se jedná o Conficker se dá těžko posoudit.
Pravděpodobně byl odstraněn , ale nedostatečně, zůstala po něm služba. Tam v tom screenu máš v roletce nataveno Automatic- nejde tam přehodit na zakázáno ( disable)? Ta roletka se zdá funkční.

protože servery jsou pryč a kromě toho screenu se k nim vůbec nedostanu ani vzdáleně, takže nemůžu poslat ani log z HJT. --jak se k němu připojuješ? Co tvoje PC? moc tomu nerozumím.

[kryton]

Na disable to hodit nejde, vyhazuje to chybu. Bohužel jsme servery odvezli zákazníkovi, který mi nedá vzdálený přístup. Tento screen tam dělali oni. Zkoušel jsem hodně hledat na netu, čím by to mohlo být, ale nic jsem nenašel. Zkusím se s nima domluvit na úpravě toho registru.

Díky

[jaro3]

Tak to je těžké , leda by se sem připojili oni a podle zde uvedených rad to odstranili .

[Orcus]

To odebrání v registrech pomůže a chybový okno se už nebude zobrazovat. ale chce to pátrat a tu službu přímo najít.. Popř zákazníky popros o výstup z autoruns... tam je přesně vidět odkud se to spouští:)

[jaro3]

Určitě nedoporučuji aby se někdo , kdo není odborník hrabal v registrech. Mohl by si nadělat další starosti.

Oni asi nemluví pravdu, ta roletka je modrá , takže funguje, kdyby to nešlo byla by zešedlá.

to Orcus: nejspíše tam zbyla jen ta služba , v autorunu nebude vidět...

[kryton]

no já nevím asi mi nic jiného než spoléhat na ty registry nezbyde. Dobré je, že se to děje na čtyřech téměř identických serverech, tak budeme mít kdyžtak zálohu. Jsem vděčný za každou radu.

[Orcus]

Určitě nedoporučuji aby se někdo , kdo není odborník hrabal v registrech. Mohl by si nadělat další starosti.

Oni asi nemluví pravdu, ta roletka je modrá , takže funguje, kdyby to nešlo byla by zešedlá.

to Orcus: nejspíše tam zbyla jen ta služba , v autorunu nebude vidět...

No kdyby tam zbyla sluzba... tak by se nezobrazovalo po startu to okno ze se ji nepodarilo spustit :)) spis to vypada ze sluzba je pokopana a jediny kvuli semu se zobrazuje je ten registr... pac jinak by se prece po startu spustila :)

[Orcus]

Btw... ta roletka nemusi bejt zašedlá aby nefungovala :))

[kryton]

Ahoj,

tak jsem si zařídil připojení přes RDP a tady je výpis z HiJackThis. Můžete mi prosím někdo poradit, zda je z toho patrné proč se tam objevila ta služba a jak ji případně zlikvidovat (viz. výše)

Děkuji mnohokrát

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 2:01:28 PM, on 7/19/2010
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\HP\Cissesrv\cissesrv.exe
C:\WINDOWS\system32\cpqrcmc.exe
C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\NTP\bin\ntpd.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\sysdown.exe
C:\hp\hpsmh\bin\smhstart.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ERA\VersionManager\VersionManager.exe
C:\WINDOWS\system32\CPQNiMgt\cpqnimgt.exe
C:\WINDOWS\system32\CpqMgmt\cqmgserv\cqmgserv.exe
C:\WINDOWS\system32\CpqMgmt\cqmgstor\cqmgstor.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\WINDOWS\system32\CpqMgmt\cqmghost\cqmghost.exe
C:\WINDOWS\system32\dllhost.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\Program Files\ERA\TP\mbserver.exe
C:\Program Files\ERA\TP\cfgmgr.exe
C:\Program Files\ERA\TP\dcomp.exe
C:\Program Files\ERA\TP\unidap.exe
C:\Program Files\ERA\TP\pdrec.exe
C:\Program Files\ERA\TP\hwmgr.exe
C:\Program Files\ERA\TP\diag_coder.exe
C:\Program Files\ERA\TP\ntpinfo.exe
C:\Program Files\ERA\TP\cmdmgr.exe
C:\Program Files\ERA\TP\fdsmgr2.exe
C:\Program Files\ERA\TP\irrma.exe
C:\Program Files\ERA\TP\mssenc.exe
C:\Program Files\ERA\TP\ipcom.exe
C:\Program Files\ERA\TP\outmgr.exe
C:\Program Files\ERA\TP\enrec.exe
C:\Program Files\ERA\TP\vafit.exe
C:\Program Files\ERA\TP\diag_pre.exe
C:\Program Files\ERA\TP\unitgnum.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HP\NCU\cpqteam.exe
C:\Program Files\Acronis\TrueImageEchoServer\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageEchoServer\TimounterMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\mmc.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/softAdmin.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = res://shdoclc.dll/softAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CPQTEAM] "C:\Program Files\HP\NCU\cpqteam.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageEchoServer\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageEchoServer\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 6868642562
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Program Files\HP\Cissesrv\cissesrv.exe
O23 - Service: HP Insight NIC Agents (CpqNicMgmt) - Hewlett-Packard Company - C:\WINDOWS\system32\CPQNiMgt\cpqnimgt.exe
O23 - Service: HP ProLiant Remote Monitor Service (CpqRcmc) - Hewlett-Packard Company - C:\WINDOWS\system32\cpqrcmc.exe
O23 - Service: HP Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
O23 - Service: HP Insight Foundation Agents (CqMgHost) - Hewlett-Packard Company - C:\WINDOWS\system32\CpqMgmt\cqmghost\cqmghost.exe
O23 - Service: HP Insight Server Agents (CqMgServ) - Hewlett-Packard Company - C:\WINDOWS\system32\CpqMgmt\cqmgserv\cqmgserv.exe
O23 - Service: HP Insight Storage Agents (CqMgStor) - Hewlett-Packard Company - C:\WINDOWS\system32\CpqMgmt\cqmgstor\cqmgstor.exe
O23 - Service: ERA PCP TP - Era Corporation - C:\Program Files\ERA\TP\pcpx.exe
O23 - Service: Ixia Performance Endpoint (IxiaEndpoint) - Ixia - C:\Program Files\Ixia\Endpoint\endpoint.exe
O23 - Service: Network Time Protocol Daemon (NTP) - Unknown owner - C:\Program Files\NTP\bin\ntpd.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Hewlett-Packard Company - C:\WINDOWS\system32\sysdown.exe
O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe
O23 - Service: ERA VersionManager (VersionManager) - ERA a.s. - C:\Program Files\ERA\VersionManager\VersionManager.exe

--
End of file - 6893 bytes