Skocz do zawartości


Zdjęcie

Anomalia - czy wirus?


  • Zamknięty Temat jest zamknięty
5 odpowiedzi w tym temacie

#1 Kanguro

Kanguro

    Obserwator

  • 8 postów

Napisano 04 01 2007 - 23:52

Witam i pozdrawiam wszystkich.
Jest pewna sprawa, z którą nie mogę dać sobie rady. Otóż jeszcze wczoraj (od daty posta) komputer chodził normalnie, tj. Opera uruchamiała się i funkcjonowała bez przeszkód, aplikacje działały bez zarzutów, można było normalnie używać kompa.
Kilka dni temu dostałem maila (rzekomo) od firmy MKS Vir (posiadam mks_2005). Tutaj podaję treść maila:

Dostajesz ten e-mail jako subskrynent firmy MKS ZO. O.

Niedawno wielu użytkowników komunikatora Gadu-Gadu otrzymało pojedyncze wiadomości, w których znajdował się jedynie link do strony internetowej. Wiadomość możemy dostać nawet od nieznajomego, wystarczy, że ma on nas na swojej liście kontaktów. Okazało się, że w sieci pojawił się nowy robak, który jako jedną z form rozprzestrzeniania się wykorzystuje komunikator Gadu-gadu.
Niestety ostatnie analizy kodu wirusa doprowadziły nas do wniosku, że rozsyłanie za pomocą Gadu-gadu to tylko początek wielkiej fali. Zaraz po zainstalowaniu się w maszynie ofiary robak szuka w sieci niezabezpieczonych komputerów i włamuje się do nich aby zainstalować swoją kopię.

Zaleca się natychmiastową aktualizację komputera, oraz zainstalowanie patcha przesłanego w załączniku.
Oprogramowanie udostępnione przez MKS wykrywa i zapobiega atakom wirusa.

Pozdrawia
zespół MKS

Do maila dołączony był załącznik "f-secure" instalka, 1.2mb.

Z racji, że nie jestem już aż takim nowicjuszem, postanowiłem podejść do tego z dystansem. Wolałem nie ryzykować i nie instalować tego patcha. Jednak zdarzyło się coś, czego nie rozumiem, a teraz jedyną rzeczą, którą mogę zrobić, to pisać tutaj, by się nie pogrążyć.

Otóż dziś po południu (do tego czasu nikt z kompa nie korzystał) chciałem wejść standartowo przez Operę na neta... i już tutaj pojawiły się pierwsze problemy. Przeglądarka nie działa jak powinna, ściślej mówiąc, nie działała w ogóle! Albo po uruchomieniu pojawiał się komunikat o jakimś błędzie pod adresem x (nie pamiętam jaki to był) i program się wyłączał, albo po wpisaniu jakiejś strony się wiesza. Ponad to Skype, który do tej pory działał bez żadnych zarzutów, również odmawia współpracy (błąd typu "program wykonał nieprawidłową operację i nastąpi jego zamknięcie")! Mimo skanowania kompa MKS 2005 i Ad-aware (zaktualizowane bazy danych), nie udało mi się nic zdziałać. Postanowiłem zaryzykować i odpaliłem program w załączniku. Po instalacji pojawiła się konsola DOS i napis "Lanuching F-secure, please wait..." i cisza. Do rejestru (chwała Bogu, że mam monitor rejestru) dodały się dwa wpisy, jeden na F-secure, drugi na C:\Windows\alg.exe. Przeczułem, że dzieje się coś niedobrego, więc szybko skasowałem aplikację i wyczyściłem rejestr oraz dysk z pozostałości po tym czymś programem do optymalizacji kompa. Ale i tak nic się nie zmieniło. Próbowałem reinstalować te programy, o których mówiłem, tylko, że nic to nie dało.

Proszę o pomoc! Alternatywą jest format, ale wolałbym tego uniknąć jeśli się da! Może ktoś z was miał już taki problem? Jeśli tak, to niech się ze mną podzieli swoim doświadczeniem.

  • 0

#2 Titter

Titter

    Linux I Sieć.

  • 237 postów

Napisano 05 01 2007 - 11:37

Przydatny bedzie log z hijack'a. Prosze o zamieszczenie jesli to mozliwe. Na chwile obecna to raczej jakis wstretny robak ale trudno powiedziec...

  • 0

#3 Kanguro

Kanguro

    Obserwator

  • 8 postów

Napisano 05 01 2007 - 19:17

Oto i logi hijack'a:

Logfile of HijackThis v1.99.1
Scan saved at 17:35:07, on 2007-01-05
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\MKS\Bin\NetMonSV.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\explorer.exe
C:\Program Files\MKS\Bin\ABregmon.exe
C:\WINDOWS\system32\svhost.exe
C:\Program Files\MKS\Bin\mks_menu.exe
C:\Program Files\MKS\Bin\mks_scan.exe
D:\Programy\Gadu-Gadu\gg.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Programy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=explorer.exe svhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programy\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programy\Spybot\SDHelper.dll
O3 - Toolbar: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - (no file)
O4 - HKLM\..\Run: [ABREGMON]C:\Program Files\MKS\Bin\ABregmon.exe
O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programy\eMule\emule.exe -AutoStart
O8 - Extra context menu item: Download with Internet TOOLS - D:\Programy\Internet Tools v3.5\MBdownload.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\Programy\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_11\bin\npjpi142_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_11\bin\npjpi142_11.dll
O9 - Extra button: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - (no file)
O9 - Extra 'Tools' menuitem: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - (no file)
O16 - DPF: {65D72393-E210-4A2A-B8E0-10AC45986770} (GWebInstallControl Object) - http://megapanel.gem.pl/WebInstaller.dll
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {A6916797-7ABD-4F07-93AE-098B6F543129} (CO2Player Class) - http://www.lemontv.pl/lmctrlp.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - C:\Program Files\MKS\Bin\NetMonSV.exe
O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program Files\MKS\bin\MkSUpdateInt.exe
O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program Files\MKS\Bin\mksmonsv.exe
O23 - Service: MkS_Scan - Unknown owner - C:\Program Files\MKS\Bin\mks_scan.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe


I wersja trochę bardziej przejrzysta, czyli po przepuszczenia przez stronę www.hijackthis.de

Dołączona grafika

Dołączona grafika

Dołączona grafika

Dołączona grafika

W zasadzie najbardziej zastanawia mnie svhost.exe... Kiedyś czytałem, że to podobno trojan, ale sam nie wiem, antywirus go nie wykrywa. Narazie nic nie usuwałem, wolę to z tobą skonsultować
  • 0

#4 Maciej13

Maciej13

    SecurityMaster

  • 261 postów

Napisano 07 01 2007 - 12:57

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O9 - Extra button: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - (no file)
O9 - Extra 'Tools' menuitem: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - (no file)
O3 - Toolbar: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - (no file)
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - (no file)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=explorer.exe svhost.exe

Fix w Hjt.

C:\WINDOWS\system32\svhost.exe


Plik na czerwono usuń ręcznie w Awaryjnym z wył. przywracaniem systemu.

Po pracy nowy log z Hjt + Silent Runners.
  • 0

#5 Gość_Wasacz_*

Gość_Wasacz_*

Napisano 13 01 2007 - 16:30

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

To jest ok. Nie trzeba usuwać.

Podałeś treść maila, ale nie podałeś całego nagłówka (adres e-mail nadawcy, jego numer IP, itd.).

BTW, svhost.exe (mimo że syf), z otrzymaną wiadomością nie ma nic wspólnego.
  • 0

#6 Maciej13

Maciej13

    SecurityMaster

  • 261 postów

Napisano 13 01 2007 - 23:35

@Wasacz,

Pierwszy wpis można potraktować bez obaw. A drugi to moje niedopatrzenie, za które przepraszam.

  • 0




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych