Bardzo dziwny Robak/Wirus/Trojan nie wiadomo co.

[kakalko]

Witam,


Moj problem zaczął sie od tego kiedy sciagnalem malutki programik... Wlaczylem go, nic sie nie stalo, nie uruchomil sie (niby, po pewnie w tle sie uruchomił) wiec zignorowalem. Po resecie systemu wszystko zaczelo wariowac, moj firewall oszalal, wyskakiwalo mnóstwo bledow z serii 'wyslij raport' i zamykalo mi aplikacje. Co wiecej, po blokowało mi kazdy skaner online, kazda strone producenta oprogramowania antywirusowego oraz strone microsoft.com. Mam nowy system wiec nie mialem wczesniej antywirusa. Zainstalowalem oryginalnego kasperskiego. Co sie okazało? Ten wirus, robak czy co to tam jest zaczał mi go deinstalowac, zamykac i inne pierdoly. Udalo mi sie go jakos uruchomic, i odpalic skanowanie. Zatrzymuje sie zawsze na 12% i wyskakuje błąd oraz zamyka kasperskiego. Nie moge sobie z tym poradzic, daje loga z HiJacka

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:24:12, on 2009-05-31
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe
C:\Program Files\Nowe Gadu-Gadu\gg.exe
C:\Program Files\Nowe Gadu-Gadu\spellchecker_gg.exe
C:\Documents and Settings\Vego\reader_s.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Xfire\Xfire.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Vego\Pulpit\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Vego\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [UVS11 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep"
O4 - HKCU\..\Run: [VoipStunt] "C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Prec] C:\Program Files\Prec\PrecStarter.exe
O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Vego\reader_s.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 6972 bytes

Oraz wrzucam plik ktory wg. mnie spowodał ten problem.
http://www.wrzucaj.com/242646

 

[discovery44]

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

Nie wiem po co to jest.
Czemu nie masz SP3?

Wlaczylem go, nic sie nie stalo, nie uruchomil sie (niby, po pewnie w tle sie uruchomił) wiec zignorowalem.[/b]

Najgorsza z możliwych opcji to ignorowanie błędu programu. Jeśli pobrałeś coś nie pewnego i po uruchomieniu nic się nie dzieje (a przynajmniej nic nie zauważyłeś) to odrazu szukaj nowego procesu. A jeśli nie ma tego shitu w procesach ani w rejestrze, to żałuj, że nie masz antywirusa. A jeśli masz antywirusa to będziesz miał nauczkę na przyszłość, żeby nie brać plików od nieznajomych. Masz legalnego Windows'a? Jak jesteś zawzięty to idź na policję. Autor uploadu na pewno odpowie za to. Masz plik, masz IP - czego więcej od życia? Jeśli zamierzasz ich o tym poinformować to narazie nie rób formata.
Pewnie jakiś trojan to jest. Jutro uruchomię na PC (maszyna do testów

) i powiem Ci co to jest.

Jakbyś nie zauważył to adres IP: 88.156.66.97
Jeśli IP nie jest zmienne to pobierz też to: http://www.speedyshare.com/238895193.html, może parę danych o Nim złapiesz.

 

[kakalko]

Ip 88.156.**.** To moje IP, wrzucilem ten plik bo sam nie pamietam skad to dokladnie sciagalem

W takim razie czekam na dokladniejsze informacje jutro

 

[discovery44]

Pzynajmniej jakiś człon nazwy strony. Poszukaj w historii.

 

[shoock12]

A co do logów z HiajckThis-a to wydają mi się podejrzane te linijki:

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Vego\reader_s.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE

Ale niech się wypowie ktoś co się bardziej zna.

 

[Legalnl]

reader_s oraz olhrwef.exe to masz trojany, uzyj sobie np tego softa jak nie umiesz sobie z nim poradzić: http://www.prevx.com/freescan.asp
Reszta co podał shoock12 to tez badziewia (czyt wirusy)

O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe[/b]

wsctf.exejest to plik microsoftu powinien mieć około 25 kb, sprawdz bo jak ma wicej to pewnie coś do tego doklejono, ponieważ ten plik wogole nie powinien się uruchamiac na starcie.

PS.: zainstaluj soie coś bardziej inteligętniejszego np NOD32

 

[gynosaurus]

nwiz.exe, to ster z nvidii. Lepiej go nie ruszać

 

[Legalnl]

a że tak dodam bo mi przyszło na mysl, jezeli uruchamiasz program, a on ładuje się dłuzej niz zwykle, lub często nie ma noralnej ikonki to mozesz być prawie pewnien ze coś do niego wpakowano i dla pewnosci zawsze przeskanuj taki plik

 

[discovery44]

kakalko wysłany przez Ciebie plik jest nie wykrywalny przez HiJackThis'a, NOD32, Ad-aware, mnie. Nie zauważłem żadnych efektów ubocznych po uruchomieniu pliku. Robiłem testy ok. 2dni i nic nie znalazłem. Według mnie ten plik nie jest przyczyną infekcji.

 

[mrx1]

Z ciekawości postanowiłem pobrać tamten plik. AV od razu zawyło

Oto co mi o pliku powiedziała moja darmowa Avira Antivirus (btw. - moim zdaniem najlepszy AV, również porównując go do komercyjnych AV):

Virus: W32/Virut.Gen
Date discovered: 25/07/2007
Type: File infector
In the wild: Yes
Reported Infections: Low
Distribution Potential: Low
Damage Potential: Low
Static file: No
Engine version: 7.04.00.50

Już dalej na skanery nie wrzucałem. Jeśli typ to infektor plików to już raczej system nadaje się tylko do formatu - przynajmniej ja bym po takiej "wpadce" tak zrobił, bo nigdy nie będziesz pewien ile syfu jeszcze zostało na kompie i w ilu botnetach jesteś

EDIT:
Chociaż zaraz wrzucę plik na anubisa, zobaczymy co ten syf robi. Edytuję posta jak otrzymam raport.

EDIT2:
Chyba ma anubis-protection. Wrzuciłem jeszcze później to na skaner online i większość AV wykryła to jako zagrożenie. Więc na 99,9% to ten plik jest przyczyną twoich kłopotów.