PLS Hijack log kontrol Possible Fujacks-type Worm

[Jan Pašek]

MOmentálně jedu v nouzovém režimu s připojením do sítě. Je máznutý adresář nod32 v program files protože mi to blokovalo nod při startu v normálním režimu. a protože minulý týden došlo k pádu PC po uzavření Firefoxu máznul sem i jeho adresář v program files. PC je tedy totáč otevřený jak mile tu mrchu chytíme opravím to.
Provedl jsem čištění registrů ale podle logu tam z noda a Firefoxu asi ještě něco zbylo takže mi řeknete i tohle navíc plus ten červ a zbytky firefoxu.

LOg Mwaw
Wed Jul 04 19:01:36 2007 => Invalid Command Found in D\Shell\AutoRun\command: D:\ASUSACPI.exe
Wed Jul 04 19:01:36 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!
Wed Jul 04 19:01:36 2007 => Objekt "Possible Fujacks-type Worm" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.

Wed Jul 04 19:01:36 2007 => Invalid Command Found in E\Shell\AutoRun\command: E:\ASUSACPI.exe
Wed Jul 04 19:01:36 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E !!!
Wed Jul 04 19:01:36 2007 => Objekt "Possible Fujacks-type Worm" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.

Logfile of HijackThis v1.99.1
Scan saved at 19:19:49, on 4.7.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Ad-Aware 2007\aawservice.exe
C:\DOCUME~1\Owner\LOCALS~1\Temp\mexe.com
C:\WINDOWS\system32\notepad.exe
C:\Program Files\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 7446056406
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 7452781906
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Ad-Aware 2007\aawservice.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Eset Service (ekrn) - Unknown owner - C:\Program Files\Eset\Eset Smart Security\ekrn.exe (file missing)
O23 - Service: MX-3 B-Cup XP (Mx-3 B-Cup Service) - Unknown owner - C:\WINDOWS\system32\Mx-3 B-Cup Service.exe" s (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Předem dík

[Reklama]

[Baron Prášil]

pane Pašku
po nodu ti tam zbyla služba a tu zastav a zakaž ve službách.
ale jinak tam nic nevidim a popravdě sem to ani moc z toho popisu nepochopil,kde je vlastně pes zakopán?
co se děje,když chceš naject do norm.režimu?

a co našel mwav sou jenom nějaký hodnoty v registru a nějaká chybka s asusáckým driveru

[Jan Pašek]

Jelo to následovně po zapnutí PC začal nabíhat NOD vyskočilo na mě oko (boot obrázek noda) a zíralo až dokud přez něj neskočila hláška že v alikaci došlo k chybě odesílat neodesílat.
V nouzáku to nedělalo. Zapátral sem v paměti co sem instaloval za posledních 14 dnů zjistil že sem nainstaloval DAEMON vymazal sem tedy adresář eset v program files prolezl prázdné adresáře tamtéž a při té příležitosti ještě máznul Firefox. Pak sem nabehl do normálního režimu bo v nouzáku nejde odinstalace a najel normálně odinstaloval daemon Najel zpět do nouzáku projel registry spustil ADware a nakonec Mvav a to už je vidět z logu. Nejsem si jistý co fixnout rači se zeptám. Bo už teď ten PC nemá daleko k tomu udělat Hají.
Jo mamtu jedno neznámé zařízení a pořád sem nemoh přijít na to co vypadlo pokusíme se tedy přeinštalírovat ovladač z cd k madrboardu.

[Baron Prášil]

no,deamon obsahuje nějakýho šmejda ale log z HJT je v pořádku. takže
udělej log z Combofixu
- po spuštění se zobrazí podmínky užití, potvrď je stiskem klávesy 1
- dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem celý jeho obsah

[Jan Pašek]

Předchozí odpověď doplněna

"Owner" - 2007-07-04 20:44:01 - ComboFix 07-07-04.4 - Service Pack 2 [SAFE MODE]


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\install.exe
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com


((((((((((((((((((((((((( Files Created from 2007-06-04 to 2007-07-04 )))))))))))))))))))))))))))))))


2007-07-04 20:43 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-04 16:35 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-07-01 06:05 9,961,472 --a------ C:\DOCUME~1\Owner\ntuser.dat
2007-06-28 15:31 <DIR> d-------- C:\WINDOWS\Ubisoft
2007-06-26 00:29 44,032 --a------ C:\WINDOWS\system32\drivers\epfwtdi.sys
2007-06-26 00:29 41,984 --a------ C:\WINDOWS\system32\drivers\epfw.sys
2007-06-26 00:29 24,064 --a------ C:\WINDOWS\system32\drivers\epfwndis.sys
2007-06-26 00:29 133,120 --a------ C:\WINDOWS\system32\drivers\eamon.sys
2007-06-26 00:29 11,776 --a------ C:\WINDOWS\system32\drivers\easdrv.sys
2007-06-13 17:43 <DIR> d-------- C:\Program Files\SpeedFan
2007-06-13 17:31 <DIR> d-------- C:\DOCUME~1\Owner\DATAAP~1\AltrixSoft
2007-06-08 20:58 <DIR> d-------- C:\Program Files\Ad-Aware 2007
2007-06-08 20:58 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATAAP~1\Lavasoft
2007-06-08 20:57 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2007-06-08 20:56 <DIR> d-------- C:\Program Files\totalcmd
2007-06-07 23:08 <DIR> d-------- C:\DOCUME~1\Owner\DATAAP~1\Mikrotik
2007-06-06 19:11 <DIR> d-------- C:\WINDOWS\system32\temp
2007-06-06 16:38 <DIR> d-------- C:\Program Files\Smart Projects
2007-06-06 16:14 <DIR> d-------- C:\Program Files\Wise Registry Cleaner
2007-06-05 00:17 <DIR> d-------- C:\DOCUME~1\Owner\DATAAP~1\CDRoller
2007-06-04 15:18 9,344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 15:17 8,320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 15:14 6,272 --a------ C:\WINDOWS\system32\drivers\AWRTPD.sys


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-04 15:58:28 -------- d-----w C:\Program Files\RegScrubXP
2007-07-04 15:51:18 -------- d-----w C:\Program Files\BeClean
2007-07-03 07:19:32 -------- d-----w C:\DOCUME~1\Owner\DATAAP~1\uTorrent
2007-07-02 19:27:30 -------- d-----w C:\Program Files\UniversalShareDownloader
2007-06-30 07:51:27 -------- d-----w C:\DOCUME~1\Owner\DATAAP~1\Vso
2007-06-29 08:02:35 -------- d-----w C:\DOCUME~1\Owner\DATAAP~1\Skype
2007-06-28 12:12:10 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-06-12 13:32:04 12,464 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-06-11 20:25:02 -------- d-----w C:\Program Files\Spyware Terminator
2007-06-08 18:05:14 -------- d-----w C:\DOCUME~1\Owner\DATAAP~1\Lavasoft
2007-06-08 17:09:09 1,289 ----a-w C:\WINDOWS\mozver.dat
2007-06-08 14:51:17 682,232 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-06-08 14:40:49 -------- d-----w C:\Program Files\EurotelSMS
2007-06-07 16:53:22 -------- d-----w C:\Program Files\Singles
2007-06-03 10:06:42 17,122,880 ----a-w C:\Program Files\mwav.exe
2007-06-02 09:11:35 -------- d-----w C:\Program Files\CCleaner
2007-05-17 18:58:19 69,262 ----a-w C:\WINDOWS\system32\perfc005.dat
2007-05-17 18:58:19 391,850 ----a-w C:\WINDOWS\system32\perfh005.dat
2007-05-16 15:18:40 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-16 13:20:07 -------- d-----w C:\Program Files\ICQLite
2007-05-10 05:10:48 -------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2007-05-08 17:52:42 -------- d-----w C:\Program Files\Lamer
2007-05-08 16:28:36 -------- d-----w C:\Program Files\GSpot
2007-05-06 16:47:55 4,096 ----a-w C:\WINDOWS\d3dx.dat
2007-05-06 14:20:30 -------- d-----w C:\Program Files\Windows Media Connect 2
2007-05-04 07:16:28 -------- d-----w C:\Program Files\Real Alternative
2007-05-04 07:16:23 -------- d-----w C:\DOCUME~1\Owner\DATAAP~1\Real
2007-05-04 06:51:46 -------- d-----w C:\DOCUME~1\Owner\DATAAP~1\Ahead
2007-04-28 14:25:53 87,608 ----a-w C:\DOCUME~1\Owner\DATAAP~1\ezpinst.exe
2007-04-28 14:25:53 47,360 ----a-w C:\DOCUME~1\Owner\DATAAP~1\pcouffin.sys
2007-04-26 01:27:58 79,376 ----a-w C:\WINDOWS\system32\MiniDump.dll
2007-04-25 14:22:50 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-19 18:44:30 18,432 ----a-w C:\WINDOWS\ss3unstl.exe
2007-04-19 18:35:06 219,046 ----a-w C:\WINDOWS\uninstall 3dmindmelter.exe
2007-04-19 18:35:04 4,376,359 ----a-w C:\WINDOWS\3dmindmelter.scr
2007-04-18 16:15:25 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-16 20:44:20 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-04-16 20:44:18 208,248 ----a-w C:\WINDOWS\system32\muweb.dll
2007-04-13 13:19:52 7,680 ----a-w C:\WINDOWS\system32\lsdelete.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2005-09-24 07:12 63136 --a------ C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-03-14 03:43 501400 --a------ C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2005-12-10 04:06 C:\WINDOWS\system32\nwiz.exe]
"SSBkgdUpdate"="C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 11:22]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 15:25]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 15:45]
"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 19:02]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 18:42]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-18 14:00]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Norton Ghost"=2 (0x2)
"Nodezilla"=2 (0x2)
"ccSetMgr"=2 (0x2)
"ccPwdSvc"=3 (0x3)
"ccEvtMgr"=2 (0x2)


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
AutoRun\command- D:\ASUSACPI.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
AutoRun\command- E:\ASUSACPI.exe

*Newly Created Service* - ASUSHWIO

**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-04 20:44:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-04 20:45:22
C:\ComboFix-quarantined-files.txt ... 2007-07-04 20:45

--- E O F ---

[Baron Prášil]

toto smaž
C:\WINDOWS\system32\d3d9caps.dat

toto nech zkontrolovat na http://www.virustotal.com/flash/index_en.html
C:\WINDOWS\ss3unstl.exe
C:\WINDOWS\uninstall 3dmindmelter.exe
C:\WINDOWS\3dmindmelter.scr je to nějakej screensaver a znáš je

[Jan Pašek]

tak to neznámé zařízení přehodil sem tiskárnu do jiného USB a je Fuč. Jedu znovu Mwaw jestli to bylo ono.
PS: slyším že mi houká mobil že by si něco našel když odpovídáš? tak to ten Mwaw asi ještě odložím.

//já tyhle časový smyčky nemam rád
//Baron Prášil

[Jan Pašek]

výsledky vyrus total

ss3unstl.exe - 1* nález - eSafe - suspicious Trojan/Worm
3dmindmelter.exe - 1* nález - eSafe - suspicious Trojan/Worm
3dmindmelter.scr - 1* nález - eSafe - suspicious Trojan/Worm

Další postup?

[Baron Prášil]

smaž je avengerem http://www.spyware.cz/go.php?p=spyware&t=aplikace&id=35

a skript

Files to delete:
C:\WINDOWS\ss3unstl.exe
C:\WINDOWS\uninstall 3dmindmelter.exe
C:\WINDOWS\3dmindmelter.scr

a pošli z toho avengera log

a ještě prosím nech zkontrolovat toto
C:\WINDOWS\system32\lsdelete.exe

jinak v hardvéru se moc nevyznam,dyť víš

a ještě abych si to ujasnil(dělam šestou noční v kuse,tak se na mě musí pomalejc)
hlavní problém je v tom,že ti kleknul nod?

[Jan Pašek]

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jxpxraau

*******************

Script file located at: \??\C:\WINDOWS\dekyxibw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\ss3unstl.exe deleted successfully.
File C:\WINDOWS\uninstall 3dmindmelter.exe deleted successfully.
File C:\WINDOWS\3dmindmelter.scr deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Hele šestá ale sem rád že funguješ děkuju a pouštím Mwaw pokud je tento log v pořádku.

[Baron Prášil]

jo,smazal to. a ten co sem psal si taky smazal?
tak k tomu mwavu přihoď potom ještě jednou Combofix

[Jan Pašek]

další scan Mwaw
Wed Jul 04 21:51:38 2007 => Offending file found: C:\WINDOWS\system32\swreg.exe
Wed Jul 04 21:51:38 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Nic nebylo provedeno.

Wed Jul 04 21:51:38 2007 => Offending file found: C:\WINDOWS\system32\swsc.exe
Wed Jul 04 21:51:38 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Nic nebylo provedeno.

postup?