Win32.trojan.downloader

[pejda]

Ahoj,již si nevím moc rady s tímto problémem, třeba zde najdu řešení. Nedávno se podařilo přitelkyni přes NOD32 protlačit vir WIN32.TROJAN.DOWNLOADER do počítače. Zjistil jsem to až já na svém účtu, kde mě na to upozornila rezidentní ochrana NOD32. Kompletně jsem smazal temporatory, koš. Několikrát projel komp heuristikou vir to ještě našlo v SVCHOST.EXE. Teď se již virus nikde nevyskytuje, ale stává se taková zajímavá věc. Nepravidelně se počítač odpojí od netu a k tomu XP okna probliknou jakoby v klasickém zobrazení (tím myslím jako kdybych dal ZOBRAZENÍ - VLASTNOSTI > MOTIVY > KLASICKÉ NASTAVENÍ). Pak se vše vrátí zpět do XP oken, lze na kompu pracovat, ale nelze se připojit k netu (Access Runner) ADSL 2 Mb/s, proto musím restartovat. Někdy se to stane za půl hoďky, někdy za 3 hodiny. Registry jsem čistil. Díky za každou radu.

[Reklama]

[Jidhash]

pro začátek jsem dej log z HijackThis

[pejda]

log určitě pošlu, momentálně jsem v práci.

[pejda]

Tady posílám ten slíbený log...


Logfile of HijackThis v1.99.1
Scan saved at 17:02:21, on 22.8.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Programy\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programy\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programy\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\Programy\Eset\nod32kui.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programy\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programy\Common\Bin\WinCinemaMgr.exe
C:\Programy\Nikon\NkView6\NkvMon.exe
C:\Programy\totalcmd\TOTALCMD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
c:\Programy\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programy\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programy\SPYBOT~1\SDHelper.dll
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - c:\programy\lotus\organize\iehelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programy\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"
O4 - HKLM\..\Run: [EPSON Stylus C45 Series (kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE /P33 "EPSON Stylus C45 Series (kopie 1)" /O5 "LPT1:" /M "Stylus C45"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programy\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programy\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKCU\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE /P23 "EPSON Stylus C45 Series" /M "Stylus C45" /EF "HKCU"
O4 - HKCU\..\Run: [NBJ] "C:\Programy\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: AccessRunner DSL.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programy\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programy\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\Programy\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programy\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Web Entry - {B4E30F61-16D9-11D3-85D1-005004229569} - c:\programy\lotus\organize\bandobjs.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: GEMINI IBS 31 RZB Applet Utilities - https://ibs.rb.cz/IB/bin/IBS31-RZB-aplutil-1.0.1.0.cab
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} (Microsoft VM) - http://www.66.com/route66/images/websit ... javx86.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15012/CTSUEng.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62479 ... e-c283.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8925306889
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15012/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{072207B4-73E6-4E7F-9C7D-1B12A471B52D}: NameServer = 212.20.96.34 195.250.128.234
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C3F88DF-FC7A-4069-9730-297A2074AA8E}: NameServer = 195.250.128.34,195.250.128.38,212.11.122.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{072207B4-73E6-4E7F-9C7D-1B12A471B52D}: NameServer = 212.20.96.34 195.250.128.234
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programy\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[pejda]

Tak mi to před chvílí opět odpojilo od netu. Pustil jsem NODA a ten mi po cca 1 minute spadnul, pustil jsem ho znovu ... nic nenasel. Přeinstaloval jsem NOD32 a udělal log v HJT. Pak restart, abych mohl zpět na net. Zde je log ...

Logfile of HijackThis v1.99.1
Scan saved at 19:02:36, on 22.8.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Programy\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programy\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programy\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programy\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Programy\Eset\nod32kui.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programy\Common\Bin\WinCinemaMgr.exe
C:\Programy\Nikon\NkView6\NkvMon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Programy\totalcmd\TOTALCMD.EXE
c:\Programy\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programy\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programy\SPYBOT~1\SDHelper.dll
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - c:\programy\lotus\organize\iehelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programy\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"
O4 - HKLM\..\Run: [EPSON Stylus C45 Series (kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE /P33 "EPSON Stylus C45 Series (kopie 1)" /O5 "LPT1:" /M "Stylus C45"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programy\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programy\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE /P23 "EPSON Stylus C45 Series" /M "Stylus C45" /EF "HKCU"
O4 - HKCU\..\Run: [NBJ] "C:\Programy\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: AccessRunner DSL.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programy\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programy\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\Programy\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programy\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Web Entry - {B4E30F61-16D9-11D3-85D1-005004229569} - c:\programy\lotus\organize\bandobjs.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: GEMINI IBS 31 RZB Applet Utilities - https://ibs.rb.cz/IB/bin/IBS31-RZB-aplutil-1.0.1.0.cab
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} (Microsoft VM) - http://www.66.com/route66/images/websit ... javx86.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15012/CTSUEng.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62479 ... e-c283.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8925306889
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15012/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{072207B4-73E6-4E7F-9C7D-1B12A471B52D}: NameServer = 212.20.96.34 195.250.128.234
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C3F88DF-FC7A-4069-9730-297A2074AA8E}: NameServer = 195.250.128.34,195.250.128.38,212.11.122.241
O17 - HKLM\System\CS2\Services\Tcpip\..\{072207B4-73E6-4E7F-9C7D-1B12A471B52D}: NameServer = 212.20.96.34 195.250.128.234
O17 - HKLM\System\CS3\Services\Tcpip\..\{072207B4-73E6-4E7F-9C7D-1B12A471B52D}: NameServer = 212.20.96.34 195.250.128.234
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programy\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[mijaja]

Stáhni si a nainstaluj Service Pack 2, stáhni si Ccleaner (v podpisu) a nainstaluj. Nainstaluj si alternativní prohlížeč namísto Internet Exploreru. Všechno mám v odkazech.

Vypni Obnovu systému (klávesa Windows+Pause/Break - a v okně Vlastnosti systému - karta Obnovení systému zaškrtnout okénko Vypnout nástroj obnovení systému na všech jednotkách.
Restartuj do nouzového režimu, odpoj se od internetu - nejlépe i kabel z síťovky nebo nespouštěj žádný browser. Tohle si raději vytiskni, nebo ulož na plochu v Notepadu.

Potom najdi a zlikviduj tohle:

c:\programy\lotus\organize\iehelper.dll - je to [url=šmejd.http://www.symantec.com/security_respon ... 13-2631-99
]šmejd[/url]

Až to budeš mít, spusť znovu HijackThis a zaškrtni v něm okénka před řádky:

O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - c:\programy\lotus\organize\iehelper.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programy\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programy\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programy\Ahead\Nero BackItUp\nbj.exe"
O4 - Startup: AccessRunner DSL.lnk = ?
O4 - Global Startup: NkvMon.exe.lnk = C:\Programy\Nikon\NkView6\NkvMon.exe
O9 - Extra button: Web Entry - {B4E30F61-16D9-11D3-85D1-005004229569} - c:\programy\lotus\organize\bandobjs.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: GEMINI IBS 31 RZB Applet Utilities - https://ibs.rb.cz/IB/bin/IBS31-RZB-aplutil-1.0.1.0.cab
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} (Microsoft VM) - http://www.66.com/route66/images/websit ... javx86.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62479 ... e-c283.cab

po zaškrtnutí klikni na FixChecked

Spusť Ccleaner a dej vyčistit windows, aplikace i registry. Potom nakoukni do složek Temp a Temporary Internet Files ve všech profilech Documents and Settings a Windows, jestli jsou prázdné a vysyp koš. Restartuj do normálu, zapni opět Obnovu systému a dej nový log HJT na kontrolu. Pro jistotu bys mohl projet komp i MWAVem a upravený log (návod mám v podpisu) dej také sem.


Znáš nějakou společnost RESONA BRNO, spol. s r.o. ?

[pejda]

4 majaja : Resona Brno mi nic neříká, čím se zabývají? Jezdím tam do BMT(Brněnská medicínská technika) a VÚTS. Ty SP2 mam nainstalovat do XP i IE? Snad se k tomu navečer dostanu, zítra už jedu pryč.

[mijaja]

SP2 nainstaluj do XP ček a IE si z toho vezme to co potřebuje.

Ta Resona je v jedné tvé adrese v logu: http://whois.domaintools.com/212.11.122.241
Pokud to neznáš, tak tenhle řádek ještě fixni:

O17 - HKLM\System\CCS\Services\Tcpip\..\{1C3F88DF-FC7A-4069-9730-297A2074AA8E}: NameServer = 195.250.128.34,195.250.128.38,212.11.122.241

[pejda]

Tak zatím jsem neměl moc času na tom pracovat, ale dnes se to nestalo ani 1, tak uvidíme. Zatím móóóóóóóóóóóóóc děkuji za pomoc a pokud se to ještě objeví, fixnu ty věci a dám vědět.