Cudan fajl u system32

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uploadovao sam fajl winlogon.exe. Ovog drugog, na svu srecu, nisam nasao,

Sta dalje, Boro? Da li upozorenje od spybota znaci da ima neka napast u compu?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

File koji si poslao je čist. Hajde pokreni ComboFix i postavi svež log (da proverim da li je još uvek sve čisto nakon toga što je TeaTimer detektovao).

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

ComboFix 09-10-10.02 - bbb 10/11/2009 17:26.3.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1024.576 [GMT 2:00]
Running from: c:\documents and settings\bbb\Desktop\ComboFix.exe
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ZoneAlarm Pro Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((( Files Created from 2009-09-11 to 2009-10-11 )))))))))))))))))))))))))))))))
.

2009-10-04 23:07 . 2009-10-11 08:08 -------- d-----w- c:\documents and settings\bbb\Application Data\RCP 5
2009-10-04 23:07 . 2009-10-04 23:08 -------- d-----w- c:\program files\ReaConverter 5.5 Pro
2009-10-04 22:35 . 2009-10-04 22:35 -------- d-----w- c:\windows\system32\ReaConverter_5.5_Pro
2009-10-02 20:11 . 2008-04-13 18:39 14592 -c--a-w- c:\windows\system32\dllcache\kbdhid.sys
2009-10-02 20:11 . 2008-04-13 18:39 14592 ----a-w- c:\windows\system32\drivers\kbdhid.sys
2009-10-02 19:30 . 2009-10-02 19:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Bluetooth
2009-10-02 19:23 . 2008-04-14 00:12 53760 ----a-w- c:\windows\system32\drivers\vfwwdm32.dll
2009-09-26 20:29 . 2009-09-26 20:29 -------- d-----w- c:\program files\MSSOAP
2009-09-26 20:28 . 2009-09-26 20:28 -------- d-----w- c:\program files\Webroot
2009-09-12 11:29 . 2009-09-12 11:29 -------- d-----w- c:\documents and settings\bbb\Application Data\WinPatrol
2009-09-12 11:29 . 2009-09-12 11:29 -------- d-----w- c:\program files\BillP Studios
2009-09-11 23:20 . 2009-06-21 21:44 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2009-09-11 19:12 . 2009-09-11 19:12 -------- d-----w- c:\program files\NOS

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-07 16:48 . 2009-04-04 22:18 4212 ---ha-w- c:\windows\system32\zllictbl.dat
2009-10-04 17:56 . 2009-04-18 17:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-10-02 19:22 . 2009-10-02 19:22 -------- d-----w- c:\program files\IVT Corporation
2009-10-02 19:22 . 2009-04-04 21:43 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-26 20:02 . 2009-04-19 15:20 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2009-09-20 02:01 . 2009-04-25 05:15 -------- d-----w- c:\documents and settings\bbb\Application Data\Skype
2009-09-19 22:06 . 2009-04-25 05:29 -------- d-----w- c:\documents and settings\bbb\Application Data\skypePM
2009-09-12 11:03 . 2009-08-20 09:05 -------- d-----w- c:\program files\Microsoft Silverlight
2009-09-11 19:14 . 2009-04-05 01:37 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
2009-09-06 17:11 . 2009-06-13 15:21 -------- d-----w- c:\documents and settings\All Users\Application Data\NFS Underground
2009-08-30 22:40 . 2009-04-18 20:34 -------- d-----w- c:\documents and settings\bbb\Application Data\SUPERAntiSpyware.com
2009-08-23 09:11 . 2009-08-23 09:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-08-23 09:08 . 2009-08-23 09:08 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{EF63305C-BAD7-4144-9208-D65528260864}
2009-08-23 09:08 . 2009-08-23 09:08 -------- d-----w- c:\program files\Lavasoft
2009-08-18 03:23 . 2004-08-03 23:56 14336 ------w- c:\windows\system32\svchost.exe
2009-08-13 08:10 . 2009-04-18 17:06 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-08-05 09:01 . 2004-08-03 23:56 204800 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:01 . 2004-08-03 23:56 58880 ----a-w- c:\windows\system32\atl.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-08-21 981904]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
"WinPatrol"="c:\program files\BillP Studios\WinPatrol\winpatrol.exe" [2009-07-27 341312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^BlueSoleil.lnk]
path=c:\documents and settings\All Users\Start Menu\Programs\Startup\BlueSoleil.lnk
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\program files\Gameforge4D\AirRivals\Launcher.atm"= c:\program files\Gameforge4D\AirRivals\Launcher.atm:Enabled:GameExe2
"c:\program files\Gameforge4D\AirRivals\Res-Voip\SCVoIP.exe"= c:\program files\Gameforge4D\AirRivals\Res-Voip\SCVoIP.exe:Enabled:GameVoIP
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\FlashGet\\flashget.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [8/23/2009 11:11 64160]
R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [12/12/2003 17:49 77312]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2/6/2009 14:23 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2/6/2009 14:24 93336]
R2 CAPI;CAPI 2.0 Service;c:\windows\system32\drivers\capi.sys [3/21/2001 12:21 26064]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2/6/2009 14:23 727720]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [4/5/2009 02:10 55152]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [7/3/2009 16:49 1028432]
R2 NDISCAPI;NDIS CAPI Service;c:\windows\system32\drivers\ndiscapi.sys [3/21/2001 12:21 27792]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [4/6/2009 23:40 603904]
R3 3xHybrid;ASUSTek SAA713x PCI Card;c:\windows\system32\drivers\3xHybrid.sys [4/5/2009 21:54 2831232]
R3 ASNDIS5;ASNDIS5 Protocol Driver;c:\windows\system32\ASNDIS5.sys [4/4/2009 23:53 16269]
R3 genmcmnUSB;USB Scroll Mouse Driver;c:\windows\system32\drivers\gflmouhid.sys [4/5/2009 21:56 7808]
R3 wdxwmac;PCI ISDN Card NDIS WAN Driver;c:\windows\system32\drivers\wdxwmac.sys [3/21/2001 12:21 272016]
S3 fsssvc;Windows Live Porodicna bezbednost;c:\program files\Windows Live\Family Safety\fsssvc.exe [2/6/2009 18:08 533360]
S3 getPlusHelper;getPlus(R) Helper;c:\windows\System32\svchost.exe -k getPlusHelper [8/4/2004 01:56 14336]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
S3 rcp_service;ReaConverter scheduler service;c:\program files\ReaConverter 5.5 Pro\rcp_scheduler.exe [11/30/2007 11:27 558592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder

2009-10-11 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-20 14:28]

2009-09-27 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 09:12]
.
.
------- Supplementary Scan -------
.
uStart Page = google.ba
IE: &Download All with FlashGet - c:\program files\FlashGet\jc_all.htm
IE: &Download with FlashGet - c:\program files\FlashGet\jc_link.htm
IE: E&xport to Microsoft Excel - c:\progra~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\bbb\Application Data\Mozilla\Firefox\Profiles\cwyea2tj.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.ba/
FF - component: c:\documents and settings\bbb\Application Data\Mozilla\Firefox\Profiles\cwyea2tj.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\documents and settings\bbb\Application Data\Mozilla\Firefox\Profiles\cwyea2tj.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 750
FF - user.js: content.notify.interval - 750000
FF - user.js: content.max.tokenizing.time - 2250000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, gmer.net
Rootkit scan 2009-10-11 17:29
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


C:\sccfg.sys 266 bytes

scan completed successfully
hidden files: 1

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-2052111302-162531612-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1488C924-EE36-9560-84E8-5F441643D60F}*]
"iabnhmofnmcmmkpeod"=hex:6b,61,6f,6a,62,6d,6a,67,6d,6d,6f,64,6f,65,68,6c,66,66,
63,64,6e,6d,00,00
"hapljofgdfkaakhg"=hex:6b,61,6f,6a,62,6d,6a,67,6d,6d,6f,64,6f,65,68,6c,66,66,
63,64,6e,6d,00,00

[HKEY_USERS\S-1-5-21-2052111302-162531612-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F71C53F3-AB48-E415-BBB0-1B4F92F00B25}*]
"iaokodbppalljddfom"=hex:6b,61,66,62,68,65,6e,6b,6b,68,67,6b,67,6f,6d,62,6b,67,
67,65,6d,68,00,7c
"haikajeggdfhdlcj"=hex:6b,61,66,62,68,65,6e,6b,6b,68,67,6b,67,6f,6d,62,6b,67,
67,65,6d,68,00,7f
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1216)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1804)
c:\windows\system32\WININET.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
Completion time: 2009-10-11 17:31
ComboFix-quarantined-files.txt 2009-10-11 15:31
ComboFix2.txt 2009-10-10 23:09
ComboFix3.txt 2009-10-10 21:55

Pre-Run: 6.061.158.400 bytes free
Post-Run: 6.019.657.728 bytes free

Current=3 Default=3 Failed=2 LastKnownGood=5 Sets=1,2,3,4,5
185 --- E O F --- 2009-09-11 23:38

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ništa novo u logu. Ovde ne bi trebalo biti malware-a.


Potrebno je deinstalirati ComboFix:
klikni start (ili ), a zatim RUN.

Na Visti koristiti Start Search polje ukoliko Run nije dostupan.

U liniju za unos teksta ukucaj (iskopiraj) sledeće:

combofix /u

Primeti da postoji razmak između "ComboFix" i "/u".



a zatim klikni OK (ili pritisni Enter).

Sačekaj da se proces deinstalacije završi.



Što se mene tiče, ovde smo gotovi (sem ako imaš nešto da kažeš/pitaš).

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Zanima me jako sta je to bilo kod mene u compu, a sada ga nema. Jesam li bio zrtva nekog keyloggera i ako jesam, da li je mogao pored ZoneAlarm da salje logove.

Malo me je zabrinulo ona informacija od spybota nakon update-a ad-awarea (kada se update zavrsio, poruka je iskocila).

Evo sada sam uploadovao ona dva fajla iz system32 koja se i dalje nalaze tamo, pa bih te zamolio da ih analiziras. Da li mogu da ih odstanim iz foldera? Zasto nemaju slova u nazivu nego kockice?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ovako... Ovde uopšte nije bilo malware-a.

Što se tiče file-ova koje si upload-ovao... Nazivi su im prikazani tako zato što su nazivi na kineskom (bar izgleda kao kineski).

Oba file-a imaju isti naziv: ﷱ瞒솸瞒ʽ

Ako je verovati Google prevodiocu, naziv je: قلے conceal 솸 evasion  ʽ

Donekle sumnjiv naziv, ali pošto prevod nije kompletan, pitanje je koliko je tačan.

Sami file-ovi izgledaju kao registry file-ovi, no pošto slabo stojim sa kineskim , ne mogu tačno da kažem šta je u njima.

Ne znam šta je kreiralo file-ove, ali mislim da ih možeš obrisati (siguran sam da je potpuno bezbedno da se obrišu).



Citat:Malo me je zabrinulo ona informacija od spybota nakon update-a ad-awarea (kada se update zavrsio, poruka je iskocila).

Za ovo nemam objašnjenje. Ako se bude ponavljalo, javi se pa ćemo tražiti u čemu je problem.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Boro, sta drugo da kazem, nego veliko hvala na trudu i vremenu koje si izdvojio da mi pomognes, a mislim da moje misljenje imaju i svi registrovani clanovi ovog foruma. Ja znam za tebe jos dok si bio na Krstarici, pa kasnije i na Ourlevelu, ako se ne varam, i zato znam kakav si strucnjak i koliko ulazes truda da ljudima pomognes da ociste svoj comp od raznoraznih gamadi.

Mislio sam da ipak nesto ima od nepozeljnih stvari, jer si u nekoliko navrata davao instrukcije sta da se uradi, ali ispalo je da je uzbuna bila lazna.

Pitanje za kraj: ako se u komp naseli keylogger kako ga je najlakse prepoznati i da li ce alati kao sto su Spybot, Ad-aware ili Malwarebytes Anti-malware moci ga bar detektovati ako ga vec ne mogu ukloniti? Da li pored ZoneAlarm ili nekog drugog boljeg firewall-a keylogger moze slati logove svom vlasniku na njegovu e-mail adresu?

Ako se desi jos koji put da me prepadne Spybot sa onom svojom porukom, javicu ti se.

Puno pozdrava, drugar.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Citat:Mislio sam da ipak nesto ima od nepozeljnih stvari, jer si u nekoliko navrata davao instrukcije sta da se uradi, ali ispalo je da je uzbuna bila lazna.

Samo proveravah i sređivah neke "probleme" u registru... Malware-a nije bilo.

Citat:ako se u komp naseli keylogger kako ga je najlakse prepoznati i da li ce alati kao sto su Spybot, Ad-aware ili Malwarebytes Anti-malware moci ga bar detektovati ako ga vec ne mogu ukloniti?

Skeniranje zaštitnim softverom (antivirus ili programi koje si pomenuo) bi mogli da ga detektuju (nije moguće garantovati bilo šta, bez obzira kakav malware je u pitanju).

Citat:Da li pored ZoneAlarm ili nekog drugog boljeg firewall-a keylogger moze slati logove svom vlasniku na njegovu e-mail adresu?

Firewall bi trebao da ti prijavi bilo kakav pokušaj pristupa internetu (sem u slučaju nekih izuzetno naprednih infekcija, no tipičan keylogger nije takav).

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Napisano: 11 Okt 2009 23:58

Boro, problem kada racunar nece da se ugasi nije za ambulantu, ali mozda je posledica aktivnosti u ovoj temi.

Naime, veceras oko 19 h sam izasao napolje i kliknuo na turn off. Kada sam se vratio racunar je bio u statusu gasenja (ekran je izgledao kao pred samo gasenje). Nisam tome pridavao znacaj, medjutim sada sam opet kliknuo na turn off i krenuo da spavam, ali on nikako da se ugasi. Imas li bilo kakvu ideju sta bi moglo da bude?

Dopuna: 12 Okt 2009 1:33

Sada je sve OK. Imao sam instalirane drajvere za bluetooth i oni su pravili problem. Nakon deinstalacije bluetootha comp se restartuje i gasi normalno.