Win32/Adware.Adon Program

[Zibi56]

Jestem początkującym uczestnikiem forum toteż proszę o wyrozumiałość.

Mój NOD32 wykrył zainfekowanie (w analizie dogłębnej) :
C:\WINDOWS\Installer\36f71e.msi »MSI »Binary.eBay_shortcuts_1040.exe »NSIS »eBayShortcuts.exe - odmiana Win32/Adware.ADON Program

skanowałem dysk C programami ArcaBit, MKS, Panda, Antitrojan elite,Dr Web,AGB6, a-squared i nie wykryły tej infekcji (usuwając inne niewykryte przez NODa).

Bardzo proszę o ukierunkowanie moich działań i sprecyzowanie ich z jednoczesną instrukcją jak powinienem przedstawić fachowo swój problem na forum.
Serdecznie z góry dziękuję.
zibi

[JoczuS]

Z trojanami w folderze ,,Installer" poradzi sobie ComboFix.
Użyj go i wklej z niego loga.

Pozdro.

[Zibi56]

Z trojanami w folderze ,,Installer" poradzi sobie ComboFix.
Użyj go i wklej z niego loga.

Pozdro.

Dziękuję za zainteresowanie i pomoc.
Użyłem programu Combofix i co dalej? poniżej Combofix txt.

ComboFix 09-09-25.01 - KOMPUTER 2009-09-27 19:17.3.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.511.183 [GMT 2:00]
Uruchomiony z: f:\programiki f\Antywirusy\ComboFix.exe


c:\documents and settings\KOMPUTER\Dane aplikacji\Desktopicon
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\libfn.dll

.
((((((((((((((((((((((((( Pliki utworzone od 2009-08-27 do 2009-09-27 )))))))))))))))))))))))))))))))
.

2009-09-27 05:08 . 2009-09-27 05:08 -------- d-----w- c:\documents and settings\KOMPUTER\Ustawienia lokalne\Dane aplikacji\cache
2009-09-26 08:48 . 2009-09-26 08:48 -------- d-----w- c:\documents and settings\KOMPUTER\Dane aplikacji\ArcaBit
2009-09-26 07:25 . 2009-09-26 08:53 -------- d-----w- c:\documents and settings\KOMPUTER\Dane aplikacji\ArcaMicroScan
2009-09-25 09:52 . 2009-09-25 09:52 -------- d-----w- c:\documents and settings\KOMPUTER\DoctorWeb
2009-09-25 09:18 . 2009-09-25 18:13 -------- d-----r- C:\folder.htt
2009-09-25 09:16 . 2009-09-25 09:16 -------- d-----w- c:\program files\Common Files\Antiy Labs
2009-09-25 05:56 . 2009-09-25 05:56 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\CA
2009-09-25 00:56 . 2009-09-25 01:14 -------- d-----w- c:\windows\BDOSCAN8
2009-09-24 20:43 . 2009-09-24 20:43 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\F-Secure
2009-09-09 04:38 . 2009-06-21 21:48 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2009-09-08 18:48 . 2009-09-09 18:04 -------- d-----w- c:\program files\EasyPicture2Icon

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-27 16:50 . 2008-01-04 12:14 -------- d-----w- c:\program files\Kalendarz XP
2009-09-27 07:46 . 2007-11-16 13:55 -------- d-----w- c:\documents and settings\KOMPUTER\Dane aplikacji\Skype
2009-09-27 05:07 . 2009-02-12 21:11 -------- d-----w- c:\program files\Nowe Gadu-Gadu
2009-09-24 04:57 . 2008-05-01 06:41 -------- d-----w- c:\documents and settings\KOMPUTER\Dane aplikacji\Any Video Converter
2009-09-23 13:18 . 2009-08-18 10:19 -------- d-----w- c:\program files\Wise Registry Cleaner
2009-09-20 07:55 . 2008-06-10 15:34 -------- d-----w- c:\program files\Any Video Converter
2009-09-09 05:06 . 2008-01-24 15:42 -------- d-----w- c:\program files\Microsoft Silverlight
2009-08-18 10:49 . 2009-08-18 10:49 -------- dc----w- c:\documents and settings\All Users\Dane aplikacji\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}
2009-08-18 10:13 . 2009-08-18 10:13 -------- d-----w- c:\program files\Fotosizer
2009-08-18 09:47 . 2009-08-18 09:47 -------- d-----w- c:\program files\Mp3 Knife
2009-08-15 04:36 . 2009-08-15 04:26 -------- d-----w- c:\documents and settings\KOMPUTER\Dane aplikacji\Vso
2009-08-15 04:36 . 2009-08-15 04:26 47360 ----a-w- c:\documents and settings\KOMPUTER\Dane aplikacji\pcouffin.sys
2009-08-15 04:26 . 2009-08-15 04:26 18816 ----a-w- c:\windows\system32\drivers\dvd43llh.sys
2009-08-15 04:26 . 2009-08-15 04:26 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys
2009-08-05 09:01 . 2004-08-04 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-30 08:41 . 2007-12-05 23:54 -------- d-----w- c:\program files\Common Files\NSV
2009-07-17 19:04 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-04 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:59 . 2004-08-04 12:00 915456 ------w- c:\windows\system32\wininet.dll
2009-07-01 21:54 . 2009-07-01 21:52 170218 ----a-w- c:\windows\hpqins00.dat
2009-07-01 06:15 . 2003-02-21 02:42 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-07-01 06:15 . 2003-03-18 18:14 499712 ----a-w- c:\windows\system32\msvcp71.dll
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WheelMouse"="c:\progra~1\A4Tech\Mouse\Amoumain.exe" [2002-03-11 155648]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2007-11-17 949376]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-07-01 198160]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
kalendarz xp.lnk - c:\program files\Kalendarz XP\Kalendarz.exe [2008-1-4 882176]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Program Files\\Common Files\\HP\\Digital Imaging\\bin\\hpqPhotoCrm.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [2007-11-16 15424]
R2 FastPara;FastPara;c:\windows\system32\drivers\fastpara.sys [2007-11-16 37836]
R3 Amps2prt;A4Tech PS/2 Port Mouse Driver;c:\windows\system32\drivers\Amps2prt.sys [2002-03-14 9344]
S2 ATE_PROCMON;ATE_PROCMON;\??\c:\program files\Anti Trojan Elite\ATEPMon.sys --> c:\program files\Anti Trojan Elite\ATEPMon.sys [?]
S2 gupdate1c978896fda963e;Google Update Service (gupdate1c978896fda963e);c:\program files\Google\Update\GoogleUpdate.exe [2009-01-17 133104]
S2 wlidsvc;Windows Live ID Sign-in Assistant;c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE [2009-03-30 1533808]
S3 AMoniterDriver;Antiy Labs Process creation detector.;\??\c:\program files\Antiy Labs\AModule\AMonitorDriver.sys --> c:\program files\Antiy Labs\AModule\AMonitorDriver.sys [?]
S3 Antiy-Product-Protect;Antiy-Product-Protect;\??\c:\program files\Antiy Labs\AModule\ProAntiy.sys --> c:\program files\Antiy Labs\AModule\ProAntiy.sys [?]
S3 AntiyFirewall;AntiyFirewall;\??\c:\windows\system32\drivers\AntiyFW.sys --> c:\windows\system32\drivers\AntiyFW.sys [?]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [2008-10-13 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [2008-10-13 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [2008-10-13 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [2008-10-13 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [2008-10-16 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [2008-10-13 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [2008-10-13 97704]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Zawartość folderu 'Zaplanowane zadania'

2009-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-01-17 09:53]

2009-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-01-17 09:53]

2009-09-27 c:\windows\Tasks\Sprawdź aktualizacje paska narzędzi Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20]

2009-08-18 c:\windows\Tasks\Wise Registry Cleaner 4.job
- c:\program files\Wise Registry Cleaner\WiseRegistryCleaner.exe [2009-08-18 13:45]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.gp24.pl/apps/pbcs.dll/frontpage
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\windows\system32\imon.dll
TCP: {3CCB68AA-762A-44CA-9188-19DCDB9868BA} = 194.204.159.1 217.98.63.164
DPF: {1E53EA77-34F2-474E-9046-B2B0C86F1821} - hxxp://www.eska.pl/streamplayers/OggX.ocx
DPF: {361E6B79-4A69-4376-B0F2-3D1EBEE9D7E2} - hxxp://217.153.242.173/RtspVaPgDec.cab
DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} - hxxp://slimak.onet.pl/_m/wirusy/ArcaOnline.cab
DPF: {4F1D0C59-5ECC-4028-87F3-482191D2230F} - hxxp://webcam.hotelbibionepalace.it/activex/AMC.cab
DPF: {5DA9D8E0-5A57-11CF-9E36-00C0930198C0} - hxxp://217.153.16.222/LNetCam.cab
DPF: {70EDCF63-CA7E-4812-8528-DA1EA2FD53B6} - hxxp://www.zablotskyy.com/ua/VitaminCtrl.cab
DPF: {D71F9A27-723E-4B8B-B428-B725E47CBA3E} - hxxp://imikimi.com/download/imikimi_plugin_0.5.1.cab
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://meteovilliers.dyndns.org:16254/activex/AMC.cab
DPF: {E6BB2089-163F-466B-812A-748096614DFD} - hxxp://cainternetsecurity.net/scanner/cascanner.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-27 19:23
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Pliki DLL Å‚adowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'winlogon.exe'(704)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(760)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll
.
Czas ukończenia: 2009-09-27 19:25
ComboFix-quarantined-files.txt 2009-09-27 17:24

Przed: 40 069 623 808 bajtów wolnych
Po: 40 682 598 400 bajtów wolnych

175 --- E O F --- 2009-09-09 04:46

[JoczuS]

2009-09-25 09:18 . 2009-09-25 18:13 -------- d-----r- C:\folder.htt

Usuń to.
ComboFix nie wykrył tych trojanów. Czy dalej NOD32 wykrywa coś tam?

[adax]

Zrób to co napisał JoczuS, a potem pobierz, zainstaluj i wykonaj skan zgodnie z tą instrukcją: http://pcforum.eu/articles.php?article_id=2
Potem pobierz to: http://www.freedrweb.com/cureit/, uruchom komputer w trybie awaryjnym (przy starcie wciskaj F8), i zeskanuj komputer używając pełnego skanowania. Powodzenia.

[Zibi56]

Zrób to co napisał JoczuS, a potem pobierz, zainstaluj i wykonaj skan zgodnie z tą instrukcją: http://pcforum.eu/articles.php?article_id=2
Potem pobierz to: http://www.freedrweb.com/cureit/, uruchom komputer w trybie awaryjnym (przy starcie wciskaj F8), i zeskanuj komputer używając pełnego skanowania. Powodzenia.

Zrobiłem co napisał JoczuS- usunąłem tylko zawartość folderu.htt -folderu nie mogłem usunąć -komunikat "nie można odnaleźć pliku"
potem przeskanowałem Anti-Malware i nie wykrył infekcji
następnie uruchomiłem komp. w trybie awaryjnym i przeskanowałem programem Dr.Web - pierwszy raz skanowanie expresowe nie wykryło infekcji, przy skanowaniu pełnym komputer samodzielnie się zrestartował i uruchomił w trybie normalnym przerywając skanowanie.
Po tych czynnościach uruchomiłem dogłębną analizę NOD32 i ponownie wykrywa mi aktywną infekcję :
C:\Documents and Settings\KOMPUTER\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat - błąd otwarcia (Plik jest zablokowany) [4]
C:\Documents and Settings\KOMPUTER\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG - błąd otwarcia (Plik jest zablokowany) [4]
C:\Documents and Settings\LocalService\NTUSER.DAT - błąd otwarcia (Plik jest zablokowany) [4]
C:\Documents and Settings\LocalService\ntuser.dat.LOG - błąd otwarcia (Plik jest zablokowany) [4]
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat - błąd otwarcia (Plik jest zablokowany) [4]
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG - błąd otwarcia (Plik jest zablokowany) [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - błąd otwarcia (Plik jest zablokowany) [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - błąd otwarcia (Plik jest zablokowany) [4]
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat - błąd otwarcia (Plik jest zablokowany) [4]
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG - błąd otwarcia (Plik jest zablokowany) [4]
C:\System Volume Information\MountPointManagerRemoteDatabase - błąd otwarcia (Dostęp zabroniony) [4]
C:\WINDOWS\Installer\36f71e.msi »MSI »Binary.eBay_shortcuts_1040.exe »NSIS »eBayShortcuts.exe - odmiana Win32/Adware.ADON Program
Skanowanie zostało przerwane przez użytkownika!
liczba sprawdzonych plików: 182699
liczba znalezionych wirusów: 1
liczba aktywnych wirusów: 1
godzina zakończenia: 00:05:45 łączny czas skanowania: 1494 sec (00:24:54)
Zatem wróciłem do punktu wyjściowego
Co dalej powinienem zrobić ?

[JoczuS]

C:\WINDOWS\Installer\36f71e.msi

Usuń to ręcznie.

[adax]

Gdyby podczas usuwania pojawiły się jakieś problemy, tzn. pisało by że nie można usunąć, plik jest aktualnie używane, to zainstaluj Unlocker. Wtedy on gdy nie będzie się normalnie dało usunąć, zrobi to 'na siłę'

[Zibi56]

C:\WINDOWS\Installer\36f71e.msi

Usuń to ręcznie.

Chciałbym zrobić to ręcznie ale nie potrafię znaleźć w C/Windows Installera, a tym bardziej pliku 36f71e.msi

[adax]

Wklej do notatnika:

Kod: Zaznacz cały

File::
C:\WINDOWS\Installer\36f71e.msi

>>Plik>>Zapisz jako... >>> CFScript.txt (najlepiej na pulpicie i obok Combofix)
Przeciągnij i upuść ten plik który zrobiłeś (CFScript.txt) na plik ComboFix.exe
tak jak tutaj:



Po zakończeniu czyszczenia wygeneruje się następny log i daj go na forum