Just nu i M3-nätverket
Gå till innehåll
johanafm

Code injection - injector: explorer.exe, target: iexplorer.exe

Rekommendera Poster

johanafm

Helt plötsligt började min mjukvarubrandvägg KPFW4 att rapportera "Intrusion Attempt Blocked", med följande information:

[log]Technical details about the intrusion attempt:

 

Injector application: C:\WINDOWS\Explorer.EXE

Description: Utforskaren

File version: 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)

Product name: Operativsystemet Microsoft® Windows®

Product version: 6.00.2900.2180

Created: 2003/4/24, 12:00:00

Modified: 2004/8/4, 08:34:19

Accessed: 2007/4/26, 13:51:46

 

Target application: C:\Program\Internet Explorer\iexplore.exe

Description: Internet Explorer

File version: 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)

Product name: Operativsystemet Microsoft® Windows®

Product version: 6.00.2900.2180

Created: 2006/2/20, 08:05:03

Modified: 2004/8/4, 08:34:24

Accessed: 2007/4/26, 13:51:46

 

Address of injection: 0x00150490[/log]

 

Intrången rapporteras som blockerade med ojämna mellanrum, men ungefär någon gång per minut.

 

Vore tacksam om någon vet vad man kan göra för att slippa problemet.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
johanafm

Tack för tipset. Dock har jag redan försökt hitta något relevant både där och på Sunbelts hemsida. Ingendera har någon information som kastar ljus över vad som ligger bakom injektionsförsöket. Jag vill gärna komma åt roten till problemet och inte bara ändra KPFWs inställningar för att inte visa när ett injektionsförsök blockats.

 

Jag var för närvarande utan AV, men efter min första post kändes det som en god idé att ge det ett försök. Tankade ner AVG Free Edition och satte igång en scan. En trojan hittades, "Trojan Horse Back Door.Generic.OBN" som infekterat följande i Windows\System32:

algs.exe

gdptqw.exe

iexplorer.exe

lssas.exe

mbaxye.exe

tljsp.exe

 

 

Kan den tänkas ligga bakom? Jag har väldigt begränsade kunskaper om säkerhet och trodde att kodinjektion gick ut på att utnyttja specialtecken, buffertstorlek, modifiera cookies etc i kommunikation "utifrån", framför allt med databaser och webbservrar.

 

I övrigt så upphörde Kerios varningar efter en ca 50 blockerade attemps. Ska man tolka det som att vad som ligger bakom slutligen lyckades på något sätt och nöjd med ett gott dagsverke slog sig till ro?

 

Vad gör man åt situationen, är det bara att blåsa systemdisken fullständigt och ordna en ny ren installation samt fixa nya cert/lösenord för internetbank, mailkonto etc?

 

[inlägget ändrat 2007-04-26 18:47:40 av johanafm]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Cecilia

Back Door betyder att det var en trojan som försökte (kanske lyckades) öppna en bakdörr till datorn så att andra kom åt datorn utifrån internet.

 

Kodinjektion kan betyda att trojanen försökte ändra i koden till t ex Internet Explorer så att den skulle göra vad trojanen ville.

Code injection is a technique to introduce (or "inject") code into a computer program or system by taking advantage of the unenforced and unchecked assumptions the system makes about its inputs.
http://en.wikipedia.org/wiki/Code_injection

 

Formatera om hårddisken tror jag inte ska behövas men vi får väl kolla om det finns något kvar.

Vi kan ju se om HijackThis visar något till att börja med:

http://www.thespykiller.co.uk/files/HJTsetup.exe

Installera, kör, skanna och spara loggen (inget annat).

 

I ditt svar bifogar du HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Ladda ner ComboFix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Kör den och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på Combofix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, klistra in den här på samma sätt med LOG-knappen.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
johanafm

Med min kunskap så ser HiJackThis ok ut. Däremot är jag lite skeptisk till den dolda processen som ComboFix rapporterade. Däremot var det tomt i ComboFix-quarantined-files.txt.

 

 

[log]Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 21:12:23, on 2007-04-26

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Program\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program\DAEMON Tools\daemon.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\Netscape\Netscape\Netscp.exe

C:\Program\Winamp\winamp.exe

C:\Program\AVG7\avgamsvr.exe

C:\Program\AVG7\avgupsvc.exe

C:\Program\AVG7\avgcc.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\HiJackThis\HiJackThis_v2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

N3 - Netscape 7: user_pref("browser.startup.homepage", "http://eveinfo.com/"); (C:\Documents and Settings\JOHAN\Application Data\Mozilla\Profiles\default\vb8jenls.slt\prefs.js)

N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\JOHAN\Application Data\Mozilla\Profiles\default\vb8jenls.slt\prefs.js)

O1 - Hosts: 209.120.136.200 community.the-underdogs.info

O1 - Hosts: 209.120.136.203 dfg.the-underdogs.info

O1 - Hosts: 209.120.136.196 files.the-underdogs.info

O1 - Hosts: 209.120.136.205 mac.the-underdogs.info

O1 - Hosts: 209.120.136.197 old.the-underdogs.info

O1 - Hosts: 209.120.136.207 ron.the-underdogs.info

O1 - Hosts: 209.120.136.194 the-underdogs.info

O1 - Hosts: 209.120.136.195 www.the-underdogs.info

O1 - Hosts: 209.120.136.209 zzt.the-underdogs.info

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVG7_CC] C:\Program\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\Program\AVG7\avgw.exe /RUNONCE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Personal.lnk = C:\Program\Personal\bin\Personal.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O15 - Trusted Zone: *.3com.com

O15 - Trusted Zone: www.adobe.com

O15 - Trusted Zone: *.amd.com

O15 - Trusted Zone: *.cruiser.com

O15 - Trusted Zone: *.forsakringskassan.se

O15 - Trusted Zone: http://www.gamebanshee.com

O15 - Trusted Zone: www.mysql.com

O15 - Trusted Zone: http://support.necam.com

O15 - Trusted Zone: http://www.regeneration-corp.com

O15 - Trusted Zone: *.shiningforcecentral.com

O15 - Trusted Zone: www.sif.se

O15 - Trusted Zone: http://www.skatteverket.se

O15 - Trusted Zone: *.spelbutiken.se

O15 - Trusted Zone: http://www.swebusexpress.se

O15 - Trusted Zone: http://www.ececs.uc.edu

O15 - Trusted Zone: http://www.webhallen.com

O15 - Trusted Zone: *.webhallen.com

O15 - Trusted Zone: www.youtube.com

O15 - Trusted Zone: *.zuggsoft.com

O15 - Trusted IP range: http://192.168.1.1

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program\AVG7\avgupsvc.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program\Kerio\Personal Firewall 4\kpf4ss.exe

 

--

End of file - 5760 bytes[/log]

 

 

 

[log]"johan" - 07-04-26 21:15:54 Service Pack 2

ComboFix 07-04-25.4V - Running from: "D:\Download\Applications\"

 

 

((((((((((((((((((((((((((((((( Files Created from 2007-03-26 to 2007-04-26 ))))))))))))))))))))))))))))))))))

 

 

2007-04-26 15:44 17,920 -ra------ C:\WINDOWS\system32\intel.exe

2007-04-26 02:56 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll

2007-04-26 02:40 <KAT> d-------- C:\Program\directx

2007-04-03 23:29 <KAT> d-------- C:\MM3

 

 

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

2007-04-26 15:44 -------- d--h----- C:\Program\installshield installation information

2007-04-21 15:59 -------- d-------- C:\Program\dosbox-0.63

2007-04-19 13:38 -------- d-------- C:\Program\mcdc++

2007-04-02 02:13 74030 --a------ C:\WINDOWS\system32\perfc01d.dat

2007-04-02 02:13 403944 --a------ C:\WINDOWS\system32\perfh01d.dat

2007-03-11 01:46 98304 --a------ C:\WINDOWS\system32cmdlineext.dll

2007-02-15 13:56 0 --a------ C:\WINDOWS\powerreg.dat

 

 

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

{02478D38-C3F9-4EFB-9B51-7695ECA05670} C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"ATIPTA"="C:\\Program\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"

"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

"DAEMON Tools"="\"C:\\Program\\DAEMON Tools\\daemon.exe\" -lang 1033"

"SoundMan"="SOUNDMAN.EXE"

"AVG7_CC"="C:\\Program\\AVG7\\avgcc.exe /STARTUP"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"AVG7_Run"="C:\\Program\\AVG7\\avgw.exe /RUNONCE"

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa

Authentication Packages REG_MULTI_SZ msv1_0\0\0

Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0

Notification Packages REG_MULTI_SZ scecli\0\0

 

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]

LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0

NetworkService REG_MULTI_SZ DnsCache\0\0

rpcss REG_MULTI_SZ RpcSs\0\0

imgsvc REG_MULTI_SZ StiSvc\0\0

termsvcs REG_MULTI_SZ TermService\0\0

HTTPFilter REG_MULTI_SZ HTTPFilter\0\0

DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0

 

 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cf9d469f-1e66-11db-87f8-0013d3a0762e}]

Shell\AutoRun\command K:\autorun.exe

 

********************************************************************

 

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-04-26 21:21:19

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

? [1324]

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

 

scan completed successfully

hidden processes: 1

hidden services: 0

hidden files: 0

 

 

********************************************************************

 

Completion time: 07-04-26 21:21:23

C:\ComboFix-quarantined-files.txt ... 07-04-26 21:21[/log]

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Cecilia

Är O1-raderna i HijackThis-loggen något du själv har ändrat i Hosts-filen?

Är alla O15-raderna, dvs webbplatser som ligger i Tillförlitliga zonen, tillförlitliga?

 

2007-04-26 15:44 17,920 -ra------ C:\WINDOWS\system32\intel.exe

Vet du vad du installerade då?

 

Hidden process är ju absolut inte bra. Skanna datorn med Blacklight:

http://www.f-secure.com/blacklight/try_blacklight.html

Klistra in loggen därifrån.

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
johanafm

Hostsfilen innehåller bara förändringar jag gjort själv, och allt som tillhör tillförlitlig zon har jag bedömt som tillförlitligt (allt annat har väldigt begränsade rättigheter för script, activeX etc). Allt bra så långt med andra ord.

 

Dessvärre har jag faktiskt ingen aning om vad jag installerade 2007-04-26, så jag gjorde en sökning på "intel.exe" på www.symantec.com, vilket endast rapporterade 3 virus:

W32.HLLW.Parved

W32.Zokrim.V

VBS.Slip

 

Efter att ha läst Symantecs rapport om vad de gör med systemet kan jag konstatera att jag inte har något av dem.

 

 

Dessvärre hittade inte Blacklight någon hidden process, så jag körde Combofix direkt efter Blacklight, och Combofix hittar fortfarande:

[log]catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-04-27 10:43:24

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

? [3500]

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

 

scan completed successfully

hidden processes: 1

hidden services: 0

hidden files: 0

[/log]

 

Inkluderar Blacklightlog i vilket fall som helst:

[log]04/27/07 10:15:17 [info]: BlackLight Engine 1.0.61 initialized

04/27/07 10:15:17 [info]: OS: 5.1 build 2600 (Service Pack 2)

04/27/07 10:15:18 [Note]: 7019 4

04/27/07 10:15:18 [Note]: 7005 0

04/27/07 10:15:27 [Note]: 7006 0

04/27/07 10:15:27 [Note]: 7011 1644

04/27/07 10:15:27 [Note]: 7026 0

04/27/07 10:15:27 [Note]: 7026 0

04/27/07 10:15:30 [Note]: FSRAW library version 1.7.1021

04/27/07 10:19:54 [Note]: 2000 1012

04/27/07 10:19:54 [Note]: 2000 1012

04/27/07 10:20:51 [Note]: 7006 0

04/27/07 10:20:51 [Note]: 7011 1644

04/27/07 10:20:52 [Note]: 7026 0

04/27/07 10:20:52 [Note]: 7026 0

04/27/07 10:20:54 [Note]: FSRAW library version 1.7.1021

04/27/07 10:25:20 [Note]: 2000 1012

04/27/07 10:25:20 [Note]: 2000 1012

04/27/07 10:44:20 [Note]: 7007 0

[/log]

 

[inlägget ändrat 2007-04-27 11:07:32 av johanafm]

[inlägget ändrat 2007-04-27 11:09:33 av johanafm]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Cecilia

Gå till http://www.virustotal.com/ klistra in följande filnamn i rutan, tryck på Send och vänta tills resultatet är klart (Status blir Finished). Klistra in resultatet (inkl. filstorlek) här.

C:\WINDOWS\system32\intel.exe

 

Vi kan ju se om någon annan rootkit-avslöjare hittar något mer. Du behöver ju inte köra alla om något visar något mer. Klistra in loggar eller liknande här.

 

Sophos: http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html

 

Ladda ner Gmer till Skrivbordet från denna sida: http://www.gmer.net/

Packa upp filen till Skrivbordet.

 

Dubbelklicka på programmet gmer.exe för att starta det.

Välj fliken rootkit, tryck på Scan

 

RootkitRevealer: http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx

 

Ladda ner SDFix till Skrivbordet:

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Dubbelklicka på SDFix.exe och en ny mapp skapas, C:\SDFix.

 

Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Öppna den nya mappen C:\SDFix och dubbelklicka på RunThis.bat för att starta programmet.

Tryck Y för att fortsätta.

Det arbetar ett tag och när det är klart så kommer det upp en fråga om du vill starta om datorn.

Tryck på godtycklig tangent för att omstarten ska påbörjas.

Datorn kommer att ta lång tid på sig under uppstarten eftersom programmet kommer att gå igång och fixa till en massa.

När det är klart visas Finished.

Tryck på valfri tangent för att avsluta programmet.

 

Öppna mappen SDFix och öppna filen Report.txt i Anteckningar.

Klistra in innehållet i filen i ditt svar här.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
johanafm

Efter scan hos Virustotal rapporterar 2 scanverktyg var sin infektion av intel.exe. Jag startade felsäkert, packade filen med arj och tog bort den. Systemstart fungerar åtminstonde som vanligt, så behövs filen intel.exe är det väl åtminstonde till något icke systemkritiskt.

 

Ny scan med Combofix visar inte längre någon gömd process heller.

 

[log]STATUS FINISHEDComplete scanning result of intel.exe, received in VirusTotal at 04.27.2007, 121807 (CET).

 

Antivirus Version Update Result

AhnLab-V3 2007.4.26.0 04.27.2007 no virus found

AntiVir 7.4.0.15 04.27.2007 no virus found

Authentium 4.93.8 04.26.2007 no virus found

Avast 4.7.981.0 04.26.2007 no virus found

AVG 7.5.0.464 04.26.2007 no virus found

BitDefender 7.2 04.27.2007 no virus found

CAT-QuickHeal 9.00 04.26.2007 no virus found

ClamAV devel-20070416 04.27.2007 no virus found

DrWeb 4.33 04.27.2007 no virus found

eSafe 7.0.15.0 04.27.2007 no virus found

eTrust-Vet 30.7.3599 04.27.2007 no virus found

Ewido 4.0 04.26.2007 no virus found

FileAdvisor 1 04.27.2007 no virus found

Fortinet 2.85.0.0 04.27.2007 no virus found

F-Prot 4.3.2.48 04.26.2007 no virus found

F-Secure 6.70.13030.0 04.27.2007 Trojan-SpyW32Voqai.A

Ikarus T3.1.1.5 04.27.2007 no virus found

Kaspersky 4.0.2.24 04.27.2007 no virus found

McAfee 5018 04.26.2007 no virus found

Microsoft 1.2405 04.27.2007 no virus found

NOD32v2 2223 04.27.2007 no virus found

Norman 5.80.02 04.26.2007 no virus found

Panda 9.0.0.4 04.27.2007 no virus found

Prevx1 V2 04.27.2007 no virus found

Sophos 4.16.0 04.23.2007 no virus found

Sunbelt 2.2.907.0 04.19.2007 no virus found

Symantec 10 04.27.2007 no virus found

TheHacker 6.1.6.095 04.15.2007 no virus found

VBA32 3.11.4 04.27.2007 no virus found

VirusBuster 4.3.79 04.26.2007 no virus found

Webwasher-Gateway 6.0.1 04.27.2007 Win32.Malware.gen!52 (suspicious)

 

 

Aditional Information

File size 17920 bytes

MD5 eee8fcf6fee57979c1d88ee59abac20f

SHA1 de21da2326ee25fea9da18cd9a5e020bbd7e2c69 [/log]

 

 

Gmer visar inte heller något udda som jag förstår det, vilket i princip var förväntat (samma rootkit scanner som Combofix använder om jag förstått saken rätt). Den sparade dock ingen logfil per automatik, och jag lyckades stänga programmet genom att klicka på en OK-knapp innan jag undersökt om man kunde be om att få en log på vad den hittat. Jag drar en ny scan med den och postar här när det är klart.

 

 

RootkitRevealer producerade dock en del.

 

Som kommentar till den loggen kan nämnas att HKLM/SYSTEM/.../sptd/cfg bör tillhöra SCSI pass through direct om det inte är något elakt som figurerar under annan identitet... Varför det är access denied vet jag dock inte..

 

Vidare så är de 3 sista raderna, för disk E:, inget att direkt bry sig om. Det är en gammal disk med win98SE som jag inte använt på evigheter. Tydligen fanns det kvar rester av något där, men när RootkitRevealer accessade de 3 filerna så sade AVG till om infektion och rensade upp skräpet.

[log]HKU\.DEFAULT\Control Panel\International 2007-04-27 12:59 0 bytes Security mismatch.

HKU\.DEFAULT\Control Panel\International\Geo 2007-04-27 12:59 0 bytes Security mismatch.

HKU\S-1-5-21-725345543-1677128483-839522115-1004\Control Panel\International 2007-04-27 12:59 0 bytes Security mismatch.

HKU\S-1-5-21-725345543-1677128483-839522115-1004\Control Panel\International\Geo 2007-04-27 12:59 0 bytes Security mismatch.

HKU\S-1-5-18\Control Panel\International 2007-04-27 12:59 0 bytes Security mismatch.

HKU\S-1-5-18\Control Panel\International\Geo 2007-04-27 12:59 0 bytes Security mismatch.

HKLM\SECURITY\Policy\Secrets\SAC* 2006-02-20 10:20 0 bytes Key name contains embedded nulls (*)

HKLM\SECURITY\Policy\Secrets\SAI* 2006-02-20 10:20 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\cfexefile\DefaultIcon 2007-04-27 12:54 0 bytes Security mismatch.

HKLM\SOFTWARE\Classes\cfexefile\shell 2007-04-27 12:54 0 bytes Security mismatch.

HKLM\SOFTWARE\Classes\cfexefile\shell\open 2007-04-27 12:54 0 bytes Security mismatch.

HKLM\SOFTWARE\Classes\cfexefile\shell\open\command 2007-04-27 12:54 0 bytes Security mismatch.

HKLM\SOFTWARE\Classes\cfexefile\shell\runas 2007-04-27 12:54 0 bytes Security mismatch.

HKLM\SOFTWARE\Classes\cfexefile\shell\runas\command 2007-04-27 12:54 0 bytes Security mismatch.

HKLM\SOFTWARE\Classes\cfexefile\shellex 2007-04-27 12:54 0 bytes Security mismatch.

HKLM\SOFTWARE\Classes\cfexefile\shellex\ContextMenuHandlers 2007-04-27 12:54 0 bytes Security mismatch.

HKLM\SOFTWARE\Classes\cfexefile\shellex\ContextMenuHandlers\CmdLineExt 2007-04-27 12:54 0 bytes Security mismatch.

HKLM\SOFTWARE\Classes\cfexefile\shellex\ContextMenuHandlers\VDMSound LaunchPad 2007-04-27 12:54 0 bytes Security mismatch.

HKLM\SOFTWARE\Classes\cfexefile\shellex\DropHandler 2007-04-27 12:54 0 bytes Security mismatch.

HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers 2007-04-27 12:54 0 bytes Security mismatch.

HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers\PifProps 2007-04-27 12:54 0 bytes Security mismatch.

HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers\ShimLayer Property Page 2007-04-27 12:54 0 bytes Security mismatch.

HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA} 2007-04-27 12:54 0 bytes Security mismatch.

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 2007-04-27 15:14 80 bytes Data mismatch between Windows API and raw hive data.

HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg 2006-08-06 01:00 0 bytes Access is denied.

C:\$AttrDef 2006-02-20 04:25 2.50 KB Hidden from Windows API.

C:\$BadClus 2006-02-20 04:25 0 bytes Hidden from Windows API.

C:\$BadClus:$Bad 2006-02-20 04:25 37.27 GB Hidden from Windows API.

C:\$Bitmap 2006-02-20 04:25 1.16 MB Hidden from Windows API.

C:\$Boot 2006-02-20 04:25 8.00 KB Hidden from Windows API.

C:\$Extend 2006-02-20 04:25 0 bytes Hidden from Windows API.

C:\$Extend\$ObjId 2006-02-20 04:25 0 bytes Hidden from Windows API.

C:\$Extend\$Quota 2006-02-20 04:25 0 bytes Hidden from Windows API.

C:\$Extend\$Reparse 2006-02-20 04:25 0 bytes Hidden from Windows API.

C:\$LogFile 2006-02-20 04:25 64.00 MB Hidden from Windows API.

C:\$MFT 2006-02-20 04:25 66.19 MB Hidden from Windows API.

C:\$MFTMirr 2006-02-20 04:25 4.00 KB Hidden from Windows API.

C:\$Secure 2006-02-20 04:25 0 bytes Hidden from Windows API.

C:\$UpCase 2006-02-20 04:25 128.00 KB Hidden from Windows API.

C:\$Volume 2006-02-20 04:25 0 bytes Hidden from Windows API.

C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 2006-12-14 16:28 252.00 KB Visible in Windows API, but not in MFT or directory index.

C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 2006-12-14 16:28 111.50 KB Visible in Windows API, but not in MFT or directory index.

D:\$AttrDef 2004-08-26 14:25 2.50 KB Hidden from Windows API.

D:\$BadClus 2004-08-26 14:25 0 bytes Hidden from Windows API.

D:\$BadClus:$Bad 2004-08-26 14:25 152.66 GB Hidden from Windows API.

D:\$Bitmap 2004-08-26 14:25 4.77 MB Hidden from Windows API.

D:\$Boot 2004-08-26 14:25 8.00 KB Hidden from Windows API.

D:\$Extend 2004-08-26 14:25 0 bytes Hidden from Windows API.

D:\$Extend\$ObjId 2004-08-26 14:25 0 bytes Hidden from Windows API.

D:\$Extend\$Quota 2004-08-26 14:25 0 bytes Hidden from Windows API.

D:\$Extend\$Reparse 2004-08-26 14:25 0 bytes Hidden from Windows API.

D:\$LogFile 2004-08-26 14:25 64.00 MB Hidden from Windows API.

D:\$MFT 2004-08-26 14:25 27.91 MB Hidden from Windows API.

D:\$MFTMirr 2004-08-26 14:25 4.00 KB Hidden from Windows API.

D:\$Secure 2004-08-26 14:25 0 bytes Hidden from Windows API.

D:\$UpCase 2004-08-26 14:25 128.00 KB Hidden from Windows API.

D:\$Volume 2004-08-26 14:25 0 bytes Hidden from Windows API.

E:\$VAULT$.AVG\12423859.FIL 2007-04-27 16:19 64.47 KB Hidden from Windows API.

E:\$VAULT$.AVG\12433046.FIL 2007-04-27 16:19 48.42 KB Hidden from Windows API.

E:\$VAULT$.AVG\12438500.FIL 2007-04-27 16:19 16.46 KB Hidden from Windows API.

E:\System Volume Information\_restore{C62BBB1C-277D-4058-8842-E8BCD09B916F}\RP421\A0033034.exe 2006-02-17 17:07 64.00 KB Visible in Windows API, but not in MFT or directory index.

E:\System Volume Information\_restore{C62BBB1C-277D-4058-8842-E8BCD09B916F}\RP421\A0033035.exe 2006-02-17 17:07 47.95 KB Visible in Windows API, but not in MFT or directory index.

E:\System Volume Information\_restore{C62BBB1C-277D-4058-8842-E8BCD09B916F}\RP421\A0033043.exe 2006-01-18 20:57 16.00 KB Visible in Windows API, but not in MFT or directory index.[/log]

 

Jag undrar dock vad "0 bytes security mismatch" indikerar om du vet direkt eller kanske var jag kan läsa in mig på det.

 

 

Så bara SDFix kvar. Ska ladda ner och starta den omgående. Jag tänkte dock posta vad jag fått fram så långt så länge iom att varje scan tar rätt mycket tid. Exempelvis höll RootkitRevealer på i närmare 2 timmar.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
johanafm

SDFix gick ju betydligt snabbare att köra :)

 

 

[log]SDFix: Version 1.79

 

Run by johan - 2007-04-27 - 18:17:06,00

 

Microsoft Windows XP [Version 5.1.2600]

 

Running From: C:\sdfix

 

Safe Mode:

Checking Services:

 

 

 

 

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

 

Rebooting...

 

Normal Mode:

Checking Files:

 

Below files will be copied to Backups folder then removed:

 

C:\WINDOWS\system32\TFTP1264 - Deleted

C:\WINDOWS\system32\TFTP1304 - Deleted

C:\WINDOWS\system32\TFTP148 - Deleted

C:\WINDOWS\system32\TFTP1512 - Deleted

C:\WINDOWS\system32\TFTP1520 - Deleted

C:\WINDOWS\system32\TFTP1656 - Deleted

C:\WINDOWS\system32\TFTP1772 - Deleted

C:\WINDOWS\system32\TFTP1880 - Deleted

C:\WINDOWS\system32\TFTP1952 - Deleted

C:\WINDOWS\system32\TFTP2032 - Deleted

C:\WINDOWS\system32\TFTP204 - Deleted

C:\WINDOWS\system32\TFTP2316 - Deleted

C:\WINDOWS\system32\TFTP404 - Deleted

C:\WINDOWS\system32\TFTP480 - Deleted

C:\WINDOWS\system32\TFTP508 - Deleted

C:\WINDOWS\system32\TFTP592 - Deleted

C:\WINDOWS\system32\TFTP836 - Deleted

C:\WINDOWS\system32\TFTP904 - Deleted

 

 

 

Removing Temp Files

 

ADS Check:

 

Checking if ADS is attached to system32 Folder

C:\WINDOWS\system32

No streams found.

 

Checking if ADS is attached to svchost.exe

C:\WINDOWS\system32\svchost.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\Program\\Kerio\\Personal Firewall 4\\kpf4gui.exe"="C:\\Program\\Kerio\\Personal Firewall 4\\kpf4gui.exe:*:Enabled:Kerio Personal Firewall 4 - GUI"

"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"

"C:\\Documents and Settings\\johan\\Skrivbord\\utorrent.exe"="C:\\Documents and Settings\\johan\\Skrivbord\\utorrent.exe:*:Enabled:µTorrent"

"F:\\Spel\\Dungeon Siege 2\\DungeonSiege2.exe"="F:\\Spel\\Dungeon Siege 2\\DungeonSiege2.exe:*:Enabled:Dungeon Siege 2 Game Executable"

"F:\\Spel\\Civilization 4\\Civilization4.exe"="F:\\Spel\\Civilization 4\\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4"

"C:\\Program\\Messenger\\msmsgs.exe"="C:\\Program\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"F:\\Spel\\NWN 2\\nwn2main.exe"="F:\\Spel\\NWN 2\\nwn2main.exe:*:Enabled:Neverwinter Nights 2 Main"

"F:\\Spel\\NWN 2\\nwn2main_amdxp.exe"="F:\\Spel\\NWN 2\\nwn2main_amdxp.exe:*:Enabled:Neverwinter Nights 2 AMD"

"F:\\Spel\\NWN 2\\nwupdate.exe"="F:\\Spel\\NWN 2\\nwupdate.exe:*:Enabled:Neverwinter Nights 2 Updater"

"F:\\Spel\\NWN 2\\nwn2server.exe"="F:\\Spel\\NWN 2\\nwn2server.exe:*:Enabled:Neverwinter Nights 2 Server"

"C:\\Program\\Skype\\Phone\\Skype.exe"="C:\\Program\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"C:\\Program\\AVG7\\avginet.exe"="C:\\Program\\AVG7\\avginet.exe:*:Enabled:avginet.exe"

"C:\\Program\\AVG7\\avgamsvr.exe"="C:\\Program\\AVG7\\avgamsvr.exe:*:Enabled:avgamsvr.exe"

"C:\\Program\\AVG7\\avgcc.exe"="C:\\Program\\AVG7\\avgcc.exe:*:Enabled:avgcc.exe"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

 

 

Remaining Files:

---------------

 

Backups Folder: - C:\SDFix\backups\backups.zip

 

Checking For Files with Hidden Attributes:

 

 

Finished[/log]

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Cecilia

Gmer och Catchme är olika.

 

HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg 2006-08-06 01:00 0 bytes Access is denied.

sptd brukar vara något som har med Daemon Tools att göra:

http://www.greatis.com/security/What%20is%20SPTD%23%23%23%23.sys.htm

http://www.daemon-tools.cc/dtcc/showthread.php?t=9327

 

Tyvärr så vet jag inte mycket om hur man ska tolka detaljerna i RootkitRevealer-loggen, men det tycks ju verkligen ha varit en noggrann skanning när den höll på så länge.

 

Tänk på detta i SDFix-loggen:

Restoring Windows Default Hosts File

 

Men det verkar ju bra att ComboFix är nöjd nu i alla fall.

Kan ju vara bra med några online-skanningar även om de tar lite tid.

http://www.pandasoftware.com/products/activescan.htm

http://www.kaspersky.com/virusscanner

 

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
johanafm

Angående tiden det tar att scanna så beror det till stor del på att det är ca 700 GB data att gå igenom. Vad gäller hosts filen så var det en temporär lösning som borde vara fixat "på riktigt" nu, så jag kanske inte ens behöver bry mig, men tack för påminnelsen.

 

Tackar en hel massa för hjälpen! Har varit otroligt bra, både med detaljkunskap och länkar till ett helt gäng nyttiga verktyg jag inte kände till. :)

 

en mycket tacksam

johanafm

[inlägget ändrat 2007-04-27 20:30:07 av johanafm]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Cecilia

Hoppas att allt är bra nu! :thumbsup:

 

Här kommer mina vanliga råd för en säkrare dator, men det är så klart viktigt att man använder sitt förnuft också.

 

Uppdatera från Windows Update och kör antispionprogrammen AVG Anti-Spyware (Ewido), SUPERAntiSpyware och/eller Spybot S&D regelbundet.

http://www.ewido.net/en/

http://www.superantispyware.com/

http://www.safer-networking.org/en/download/index.html

 

Använd en brandvägg (bättre än den inbyggda i XP), det finns gratis från t ex ZoneLabs.

http://www.zonealarm.com/store/content/company/products/znalm/freeDownload.jsp

Länken "I only want basic ZoneAlarm protection" eller på

http://www.majorgeeks.com/ZoneAlarm_Free_d388.html

 

Komplettera antivirusprogrammet med några online-skanningar då och då:

http://housecall.trendmicro.com/

http://www.bitdefender.com/scan8/ie.html

http://www.pandasoftware.com/products/activescan/

 

Om man använder Internet Explorer så kan det vara lämpligt att ha programmet SpywareBlaster, vilket hindrar en hel del otrevliga program från att laddas ner resp. köras http://www.javacoolsoftware.com , samt kör IE-SpyAd som lägger en hel massa otrevliga webbplatser i zonen Ej tillförlitliga i Internet Explorer så att de inte kan göra något med datorn http://www.spywarewarrior.com/uiuc/resource.htm

 

Se över säkerhetsinställningarna i Internet Explorer, det finns en hel del tips här:

http://www.spywarewarrior.com/uiuc/btw/ie/ie-opts.htm

 

Om man använder webbläsaren Firefox så är det lämpligt att ha tillägget NoScript.

http://www.mozilla.com

https://addons.mozilla.org/firefox/722/

 

Allt gratis för hemanvändare/personligt bruk.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Skapa ett nytt konto på vårt forum. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu



×
×
  • Skapa nytt...