hijack log

Microsoft .net standard server selvom Platform: Windows XP SP1 (WinNT 5.01.3590)

Jeg checker den lige.

Det er lidt af en samling, du har fanget der :-)

Jeg har et enkelt tvivls-spørgsmål:
O23 - Service: .NET Framework Support Service (CORRTSvc) - Unknown owner - %WinDIR%\System32\svchost.exe (file missing)

Det er usædvanligt at have svchost.exe liggende som en service. Er det noget, du har en forklaring på?

---------------------------------------------

Hent dette program, og pak det ud til skrivebordet:
http://www.atribune.org/downloads/HSFix.zip

Download og gem denne scanner på skrivebordet. Du skal ikke aktivere det endnu.
http://www.spywareinfo.dk/download/mwav.exe

Hent Ewido herfra (14 dages version af plus-versionen
http://www.ewido.net/en/download/
Installer og kør Ewido - opdater programmet.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked.

O4 - HKLM\..\Run: [NTCommLib3] C:\WINDOWS\System32\NTCommLib3.exe
O4 - HKLM\..\RunOnce: [tlc] C:\WINDOWS\update13.js
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\sysvcs.exe
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll

Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Genstart i fejlsikret (tryk på <F8> under opstarten), slet mapper og filer listet herunder (nogle af dem er muligvis allerede blevet slettet af Hijackthis).
-------------------
Mapper:
<ingen>
-------------------
Filer:
C:\WINDOWS\System32\NTCommLib3.exe
C:\WINDOWS\update13.js
C:\WINDOWS\System32\sysvcs.exe
C:\WINDOWS\System32\xplugin.dll
C:\WINDOWS\SYSTEM32\avpu32.dll
---------------------------------------
Kør en fuld scanning med Ewido. Programmet laver en lille log, som du skal kopiere herind i dit næste svar.

Kør herefter Hsfix.bat 2 gange. Programmet laver en log, som du også skal lægge herind i tråden.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Klik på scan clean. Det kan godt tage lang tid (nogle timer), men den er også meget effektiv.
Genstart til normal tilstand, lav en ny HJT-log, som du sender herind til check.

023 nææ den er noget underlig.. men burde være en .net service.. ?


Horseserver Removal Tool v1.05
      by Atri
-
-
1. Registry Fix Started
-
  Registry fix complete
-
2. Deleted Services
-
-
3. Finding files Located on system
-
-
4. Deleting files that were found.
-
-
5. Checking for and Removing Winupdate
-
-
-

---------------------------------------------------------
ewido security suite - Scan report
---------------------------------------------------------

+ Created on:            14:44:28, 23-09-2005
+ Report-Checksum:        F30ED15F

+ Scan result:

    HKLM\SOFTWARE\Classes\CLSID\{4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} -> Spyware.CoolWebSearch : Cleaned with backup
    HKLM\SOFTWARE\Classes\TypeLib\{C5991634-0185-4B0D-B4F9-6C45597962B7} -> Spyware.CoolWebSearch : Cleaned with backup
    HKLM\SOFTWARE\Classes\TypeLib\{EE79D398-AAAF-47B1-8C9E-11F7D4C9111B} -> Spyware.CoolWebSearch : Cleaned with backup
    HKLM\SOFTWARE\Classes\XPlugin.XFilter -> Spyware.CoolWebSearch : Cleaned with backup
    HKLM\SOFTWARE\Classes\XPlugin.XFilter\CLSID -> Spyware.CoolWebSearch : Cleaned with backup
    HKLM\SOFTWARE\Classes\XPlugin.XFilter\CurVer -> Spyware.CoolWebSearch : Cleaned with backup
    HKLM\SOFTWARE\TMKSoft -> Spyware.CoolWebSearch : Cleaned with backup
    HKLM\SOFTWARE\TMKSoft\XPlugin -> Spyware.CoolWebSearch : Cleaned with backup
    HKU\S-1-5-21-682003330-842925246-1060284298-500\Software\IST -> Spyware.ISTBar : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Cookies\administrator@adtech[2].txt -> Spyware.Cookie.Adtech : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Cookies\administrator@advertising[2].txt -> Spyware.Cookie.Advertising : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Cookies\administrator@as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Cookies\administrator@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Cookies\administrator@atdmt[2].txt -> Spyware.Cookie.Atdmt : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Cookies\administrator@burstnet[2].txt -> Spyware.Cookie.Burstnet : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Cookies\administrator@casalemedia[2].txt -> Spyware.Cookie.Casalemedia : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Cookies\administrator@counter9.sextracker[1].txt -> Spyware.Cookie.Sextracker : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Cookies\administrator@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Cookies\administrator@fastclick[2].txt -> Spyware.Cookie.Fastclick : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Cookies\administrator@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Cookies\administrator@revenue[2].txt -> Spyware.Cookie.Revenue : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Cookies\administrator@servedby.advertising[2].txt -> Spyware.Cookie.Advertising : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Cookies\administrator@sextracker[1].txt -> Spyware.Cookie.Sextracker : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Cookies\administrator@statcounter[1].txt -> Spyware.Cookie.Statcounter : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Cookies\administrator@tribalfusion[1].txt -> Spyware.Cookie.Tribalfusion : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Desktop\backups\backup-20050923-000037-298.dll -> Backdoor.Agent.bc : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Local Settings\Temp\tBmp207.exe -> Trojan.Crypt.l : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Local Settings\Temporary Internet Files\Content.IE5\S7O6KKV9\file[1].exe -> TrojanDownloader.Small.xk : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Local Settings\Temporary Internet Files\Content.IE5\S7O6KKV9\frame[1].exe -> TrojanDownloader.Agent.ho : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Local Settings\Temporary Internet Files\Content.IE5\VS8TGP2W\e9xr2[1].chm -> TrojanDownloader.Small.xk : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Local Settings\Temporary Internet Files\Content.IE5\VS8TGP2W\xltmk[1].dat -> TrojanDropper.Agent.ik : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Local Settings\Temporary Internet Files\Content.IE5\XFBQBZLZ\ibar[1].js -> TrojanDownloader.IstBar.ad : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Local Settings\Temporary Internet Files\Content.IE5\XFBQBZLZ\latest[1].exe -> Trojan.Crypt.l : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Local Settings\Temporary Internet Files\Content.IE5\XFBQBZLZ\ucs5[1].dat -> Backdoor.Agent.bc : Cleaned with backup
    C:\Documents and Settings\Administrator.JMWEB\Local Settings\Temporary Internet Files\Content.IE5\XFBQBZLZ\webb[1].exe -> TrojanDownloader.Small.asy : Cleaned with backup
    C:\WINDOWS\Downloaded Program Files\file.exe -> TrojanDownloader.Small.xk : Cleaned with backup
    C:\WINDOWS\system32\TCPService2.exe -> Backdoor.Agent.bc : Cleaned with backup
    C:\WINDOWS\system32\tksrv99.exe -> TrojanDropper.Agent.ik : Cleaned with backup
    C:\WINDOWS\system32\tmksrvu.exe -> TrojanDownloader.Esepor.s : Cleaned with backup
    C:\WINDOWS\system32\uc1362.exe -> TrojanDownloader.Small.aqw : Cleaned with backup
    C:\WINDOWS\system32\ucsi.exe -> Backdoor.Agent.bc : Cleaned with backup
    C:\WINDOWS\system32\ucsl.exe -> TrojanDownloader.Small.aom : Cleaned with backup
    C:\WINDOWS\system32\WStart.dll -> Backdoor.Agent.bc : Cleaned with backup
    C:\WINDOWS\system32\~update.exe -> Trojan.Crypt.l : Cleaned with backup
    C:\winloadhh.dll -> TrojanDownloader.Small.asy : Cleaned with backup


::Report End


sender lige HJT også.. tog dælme sin tid!!

Logfile of HijackThis v1.99.1
Scan saved at 18:19:37, on 23-09-2005
Platform: Windows XP SP1 (WinNT 5.01.3590)
MSIE: Internet Explorer v6.00 SP1 (6.00.3590.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\serverappliance\appmgr.exe
C:\WINDOWS\system32\serverappliance\elementmgr.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\ArGo Software Design\Mail Server\mlsrvnt.exe
C:\WINDOWS\system32\serverappliance\srvcsurg.exe
C:\PROGRA~1\MICROS~2\webtool.exe
C:\Program Files\RealVNC\VNC4\winvnc4.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ArGo Software Design\Mail Server\mlsrv.exe
C:\Documents and Settings\Administrator.JMWEB\Desktop\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.vejs.dk/
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [ArGoSoftMailServer] C:\Program Files\ArGo Software Design\Mail Server\mlsrv.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127405957727
O17 - HKLM\System\CCS\Services\Tcpip\..\{B93EB900-EF6F-42EB-AEE4-0DB689B2879A}: NameServer = 81.19.251.200,91.19.251.201
O17 - HKLM\System\CS1\Services\Tcpip\..\{B93EB900-EF6F-42EB-AEE4-0DB689B2879A}: NameServer = 81.19.251.200,91.19.251.201
O17 - HKLM\System\CS2\Services\Tcpip\..\{B93EB900-EF6F-42EB-AEE4-0DB689B2879A}: NameServer = 81.19.251.200,91.19.251.201
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll
O23 - Service: .NET Framework Support Service (CORRTSvc) - Unknown owner - %WinDIR%\System32\svchost.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: ArGoSoft Mail Server (msServerForm) - ArGo Software Design - C:\Program Files\ArGo Software Design\Mail Server\mlsrvnt.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\winvnc4.exe" -service (file missing)

Det hjalp på den, men den værste af infektionerne er der desværre stadig. Så vi må prøve et manuelt fix:

Hent KillBox her: http://www.spywareinfo.dk/download/KillBox.zip

Kopier indholdet mellem de stiplede linier ind i et notepad-vindue, og gem det på skrivebordet som remhax.reg

---------------
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpu32]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpu32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpu64.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
@=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpu32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpu64.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"EnforceWriteProtection"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpu32]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpu64]
-----------------

Dobbeltklik på remhax.reg og sig ja til at tilføje oplysningerne til registreringsdatabasen.

Pak Killbox.zip ud, og kør programmet. Sæt prik i "Delete on reboot". Sæt flueben i "End Explorer shell while Killing File". Kopier enkeltvis følgende linier ind i tekstfeltet på Killbox og klik herefter på den røde knap med det hvide kryds. Programmet vil spørge om du vil genstarte - svar NEJ, undtagen når du har kopieret den sidste linie ind. Efter at have kopieret den sidste linie ind, skal du svare JA, og din computer vil genstarte (det vil formentlig være en langsom genstart, da infektionen vil lede efter de filer du har slettet).

c:\Windows\avpu32.dll
c:\Windows\avpu32.sys
c:\Windows\avpu64.sys
c:\Windows\klogini.dll
c:\Windows\p3.ini
c:\Windows\qy.sys
c:\Windows\qz.dll
c:\Windows\qz.sys

Når computeren er genstartet, dobbeltklikker du igen på remhax.reg. Herefter fixer du følgende linie med HJT (hvis den stadig er der):
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll

Genstart nok engang, og lav en ny HJT-log, som du lægger herind.

avpu32 er der sgu stadig :(

Logfile of HijackThis v1.99.1
Scan saved at 21:01:28, on 24-09-2005
Platform: Windows XP SP1 (WinNT 5.01.3590)
MSIE: Internet Explorer v6.00 SP1 (6.00.3590.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\msdtc.exe
C:\WINDOWS\system32\serverappliance\appmgr.exe
C:\WINDOWS\system32\serverappliance\elementmgr.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\llssrv.exe
C:\Program Files\ArGo Software Design\Mail Server\mlsrvnt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\serverappliance\srvcsurg.exe
C:\PROGRA~1\MICROS~2\webtool.exe
C:\Program Files\RealVNC\VNC4\winvnc4.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\ArGo Software Design\Mail Server\mlsrv.exe
C:\Documents and Settings\Administrator.JMWEB\Desktop\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.vejs.dk/
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [ArGoSoftMailServer] C:\Program Files\ArGo Software Design\Mail Server\mlsrv.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127405957727
O17 - HKLM\System\CCS\Services\Tcpip\..\{B93EB900-EF6F-42EB-AEE4-0DB689B2879A}: NameServer = 81.19.251.200,91.19.251.201
O17 - HKLM\System\CS1\Services\Tcpip\..\{B93EB900-EF6F-42EB-AEE4-0DB689B2879A}: NameServer = 81.19.251.200,91.19.251.201
O17 - HKLM\System\CS2\Services\Tcpip\..\{B93EB900-EF6F-42EB-AEE4-0DB689B2879A}: NameServer = 81.19.251.200,91.19.251.201
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll
O23 - Service: .NET Framework Support Service (CORRTSvc) - Unknown owner - %WinDIR%\System32\svchost.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: ArGoSoft Mail Server (msServerForm) - ArGo Software Design - C:\Program Files\ArGo Software Design\Mail Server\mlsrvnt.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\winvnc4.exe" -service (file missing)

Øv. Det er også én af de sværeste infektioner. Vi må prøve rykke ud med de store analyser:

Hent Blacklight her http://www.f-secure.com/blacklight/try.shtml Scroll ned på siden, og klik "iaccept". På næste side kan du downloade Blacklight til skrivebordet. Dobbeltklik filen, og klik scan. Når den er færdig laver den en log på skrivebordet. Kopier loggen her ind, hvis Blacklight finder noget. Du skal ikke lade Blacklight fjerne noget endnu.
------------------------
Hent herefter Find-T:
http://forums.net-integration.net/index.php?act=Attach&type=post&id=156424

...og pak programmet ud til dit C-drev. Åben mappen Find-T og dobbeltklik på RunThis.bat. Kopier indholdet af den efterfølgende tekstfil herind.
------------------------
Hent Silentrunners her:
http://www.silentrunners.org/Silent%20Runners.vbs

Kør programmet og læg log-filen herind (den lægger sig i samme mappe som silentrunner programmet ligger i).
------------------------
Hent dette lille værktøj fra Option^explicit:
http://www.fbeej.dk/Programmer/DllCompare.exe

Kør programmet og klik på Run Locate.com og vent et kort øjeblik (der kommer en meddelelse med blå skrift: "Completed the scan - click compare to continue").

Klik nu på Compare og vent lidt - denne gang tager det nok et par minutter. Når den er færdig med at lede ("completed" med blå skrift), kan du klikke på "Make a Log of what was Found". Nu spørger programmet om du vil se log'en - svar ja og kopier log'en herind i dit næste svar.

Blacklight:
09/24/05 21:58:31 [Info]: BlackLight Engine 1.0.23 initialized
09/24/05 21:58:31 [Info]: OS: 5.1 build 3590 (Service Pack 1)
09/24/05 21:58:31 [Note]: 4019 0
09/24/05 21:58:31 [Note]: 4019 1
09/24/05 21:58:31 [Note]: 4019 2
09/24/05 21:58:32 [Note]: 4019 3
09/24/05 21:58:32 [Note]: 4019 4
09/24/05 21:58:32 [Note]: 4005 0
09/24/05 21:58:44 [Note]: 4006 0
09/24/05 21:58:44 [Note]: 4019 5
09/24/05 21:58:44 [Note]: 4019 6
09/24/05 21:58:44 [Note]: 4019 7
09/24/05 21:58:44 [Note]: 4019 8
09/24/05 21:58:45 [Note]: 4019 9
09/24/05 21:58:45 [Note]: 4019 10
09/24/05 21:58:45 [Note]: 4019 11
09/24/05 21:58:45 [Note]: 4019 12
09/24/05 21:58:45 [Note]: 4019 13
09/24/05 21:58:47 [Note]: 4018 1052
09/24/05 21:58:47 [Info]: Hidden process: C:\WINDOWS\Explorer.EXE
09/24/05 21:58:47 [Note]: FSRAW library version 1.7.1011
09/24/05 21:59:44 [Info]: Hidden file: C:\WINDOWS\system32\p3.ini
09/24/05 21:59:44 [Note]: 10002 1
09/24/05 21:59:46 [Info]: Hidden file: C:\WINDOWS\system32\klogini.dll
09/24/05 21:59:46 [Note]: 10002 1
09/24/05 21:59:47 [Info]: Hidden file: C:\WINDOWS\system32\avpu32.dll
09/24/05 21:59:47 [Note]: 10002 1
09/24/05 21:59:47 [Info]: Hidden file: C:\WINDOWS\system32\avpu32.sys
09/24/05 21:59:47 [Note]: 10002 1
09/24/05 21:59:47 [Info]: Hidden file: C:\WINDOWS\system32\avpu64.sys
09/24/05 21:59:47 [Note]: 10002 1
09/24/05 21:59:54 [Info]: Hidden file: C:\WINDOWS\system32\qy.sys
09/24/05 21:59:54 [Note]: 10002 1
09/24/05 21:59:55 [Info]: Hidden file: C:\WINDOWS\system32\qz.dll
09/24/05 21:59:55 [Note]: 10002 1
09/24/05 21:59:55 [Info]: Hidden file: C:\WINDOWS\system32\qz.sys
09/24/05 21:59:55 [Note]: 10002 1
09/24/05 22:02:23 [Note]: 4007 0

Find-T: Eksisterer ikke

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ArGoSoftMailServer" = "C:\Program Files\ArGo Software Design\Mail Server\mlsrv.exe" ["ArGo Software Design"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Display Panning CPL Extension"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{4648F940-EFE3-4BAB-9211-3BE45CD5029D}" = "VSSShellExt"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\vssui.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! avpu32\DLLName = "avpu32.dll" [** WMI GetObject error **]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido\security suite\context.dll" ["ewido networks"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido\security suite\context.dll" ["ewido networks"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

ArGoSoft Mail Server, msServerForm, "C:\Program Files\ArGo Software Design\Mail Server\mlsrvnt.exe" ["ArGo Software Design"]
ewido security suite control, ewido security suite control, "C:\Program Files\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Program Files\ewido\security suite\ewidoguard.exe" ["ewido networks"]
License Logging, LicenseService, "C:\WINDOWS\System32\llssrv.exe" [MS]
SSL for World Wide Web Publishing, W3SSL, "C:\WINDOWS\System32\lsass.exe" [MS]
VNC Server Version 4, WinVNC4, ""C:\Program Files\RealVNC\VNC4\winvnc4.exe" -service" ["RealVNC Ltd."]
WebTool, WebTool, "C:\PROGRA~1\MICROS~2\webtool.exe" [MS]
World Wide Web Publishing, W3SVC, "C:\WINDOWS\System32\svchost.exe -k iissvcs" {"C:\WINDOWS\System32\inetsrv\iisw3adm.dll" [MS]}


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
  use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 150 seconds, including 18 seconds for message boxes)


Option^explicit: Eksisterer ikke

Find-T & Option^explicit links virker ikke

Hojben: Jeg lægger nu mærke til, at du har været ved at fixe i din HJT-log, således at du får det til at se ud som om, du har SP1 på maskinen. Jeg vil gerne bede om, at du lægger logs'ene som de laves af programmerne. Du skal tænke på, at jeg rådgiver jo udfra de informationer, jeg henter derfra, og det er ikke lige meget for mig at vide om du har SP1 på maskinen eller ej. Det har fx. rimelig afgørende betydning for det følgende fix.

Iøvrigt, så er det ikke et krav fra min side at der skal være SP1 på maskinen, når jeg rådgiver i dette forum. Selvom jeg mener det er uklogt ikke at have det.

Disse logs gav iøvrigt vigtige nye oplysninger om infektionen :-) Vi venter derfor i første omgang med Find-T og Dllcompare...

----------------------------------
Sæt din Windows CD i cd-rom drevet. Klik på Start-Kør, skriv cmd og klik på Ok
I den kommandoprompt der åbner, skriver du:
expand D:\i386\EXPLORER.EX_ C:\explorer.exe

(D: repræsenterer her cd-drevet. Du skal ændre det, hvis dit cd-drev har et andet bogstav).

Luk vinduet. Tryk CTRL + ALT + DEL, åbn Taskmanager/jobliste. Klik på fanebladet "Processer", find EXPLORER.EXE, højreklik på den, og vælg "Afslut proces".

Stadig inde i Joblisten, klikker du på Filer-Nyt job, skriv cmd (klik OK)
Skriv så følgende:
copy C:\explorer.exe C:\windows

og bekræft at du vil overskrive. Dette vil overskrive Explorer.exe med en ny kopi

Dobbeltklik på remhax.reg som du lavede tidligere, og sig ja til at tilføje oplysninger.

Kør Blacklight igen, og tillad denne gang at fixe de fundne filer.

Kør Killbox igen.. Kopier enkeltvis følgende linier ind i tekstfeltet på Killbox og klik herefter på den røde knap med det hvide kryds. Programmet vil spørge om du vil genstarte - svar NEJ, undtagen når du har kopieret den sidste linie ind. Efter at have kopieret den sidste linie ind, skal du svare JA, og din computer vil genstarte (det vil formentlig være en langsom genstart, da infektionen vil lede efter de filer du har slettet).
C:\WINDOWS\system32\p3.ini
C:\WINDOWS\system32\klogini.dll
C:\WINDOWS\system32\avpu32.dll
C:\WINDOWS\system32\avpu32.sys
C:\WINDOWS\system32\avpu64.sys
C:\WINDOWS\system32\qy.sys
C:\WINDOWS\system32\qz.dll
C:\WINDOWS\system32\qz.sys

Når computeren har genstartet, kører du igen remhax.reg.

Ny genstart, og kør HJT, hvor du fixer denne linie (hvis den er her).

Endnu en genstart, lav en ny HJT-log, som du lægger herind. Lav også en ny blacklight-log, som du lægger herind.

Hvorfor skulle jeg ændre noget?? Logs'ene er som programmerne har lavet dem.

Jeg vender tilbage senere med nye logs..

Lige en vigtig tilføjelse:
Når du har erstattet den gamle explorer.exe med den nye, så får du den aktiveret ved inde i Joblisten, at klikke på Filer-Nyt Job, skriv explorer.exe (klik OK).

Herefter kan du lukke joblisten ned, og fortsætte med proceduren.

Angående SP1 eller ej: Det undrer mig bare, at Silentrunners så siger at du ingen ServicePacks har inde. Og at HJT er inkohærent med sine oplysninger... Men eftersom du holder fast i dit, selv efter at jeg har gjort opmærksom på, at du ingen interesse har i at give mig de forkerte oplysninger (i andre fora ser vi nogle gange at folk snyder med disse oplysninger, fordi vi der ikke renser logs uden SP1), må jeg jo tro på det :-)

ked af at sige det, men den findes ikke i processer men brokker sig hvis jeg vil overskrive den da den kører og er i brug..

starter jeg en ny explorer.exe åbner stifinder også som den skal og dukker kort op i processer hvorefter den forsvinder igen..

Ok, det må være pga infektionens root-kit. Prøv at gøre dette, for at afslutte processen: Inde i Joblisten, klikker du på Filer-Nyt job, skriv cmd (klik OK). I kommandoprompten skriver du:
taskkill /im explorer.exe /f

Se så, om ikke explorer lukker ned (skrivebordets indhold forsvinder bl.a.). Hvis den ikke gør det, må du i første omgang køre fixet uden at erstatte den nuværende explorer.

Grunden til at jeg foreslog denne del af proceduren er, at Blacklight indikerer at Explorer.exe er inficeret. Derfor vil den fixe processen, hvis du giver den lov. Hvis der så ikke er nogen explorer.exe når du skal genstarte, kan det give svære problemer.

Du skal derfor holde XP-cd'en klar. Hvis du får problemer med at starte XP op efter fixet, så skal du lægge skiven i drevet, lade den boote op fra CD'en, vælg repair, vælg konsolmode. Log ind som administrator.

Du får en DOS prompt, her skriver du:
copy c:\WINDOWS\ServicePackFiles\i386\explorer.exe C:\windows

Hvis dén kommando ikke virker, skriver du:
expand D:\i386\EXPLORER.EX_ C:\Windows\Explorer.exe
[hvor D: igen repræsenterer dit cdrom-drev]

Log ud, genstart, og fortsæt proceduren hvor du slap...

let uoverskueligt nu syns jeg men explorer er erstattet nu. og findes i processer.

remhax kørt maskine genstarter nu.

Ja, jeg beklager det uoverskuelige i proceduren. For at rette lidt op på det, har jeg lige samlet det hele i én procedure. Sidst du skrev, lød det til, at du var kommet til pkt. 4
-----------------------
1. Tryk CTRL + ALT + DEL, åbn Taskmanager/jobliste. Inde i Joblisten, klikker du på Filer-Nyt job, skriv cmd (klik OK). I kommandoprompten skriver du:
taskkill /im explorer.exe /f

Se så, om ikke explorer lukker ned (skrivebordets indhold forsvinder bl.a.). Hvis den gør det, så spring videre til pkt. 3.
-----------------------
2. Hvis den ikke gør det, må du i første omgang køre fixet uden at erstatte den nuværende explorer. Men så skal du holde XP-cd'en klar. Hvis du får problemer med at starte XP op efter fixet, så skal du lægge skiven i drevet, lade den boote op fra CD'en, vælg repair, vælg konsolmode. Log ind som administrator.

Du får en DOS prompt, her skriver du:
copy c:\WINDOWS\ServicePackFiles\i386\explorer.exe C:\windows

Hvis dén kommando ikke virker, skriver du:
expand D:\i386\EXPLORER.EX_ C:\Windows\Explorer.exe
[hvor D: repræsenterer dit cdrom-drev]

Eftersom du ikke har kunnet lukke Explorer.exe ned, springer du pkt. 3 over.
-----------------------
3. Stadig inde i Joblisten, klikker du på Filer-Nyt job, skriv cmd (klik OK)
Skriv så følgende:
copy c:\WINDOWS\ServicePackFiles\i386\explorer.exe C:\windows

og bekræft at du vil overskrive. Dette vil overskrive den eksisterende Explorer.exe med den Explorer.exe, der fulgte med den nyeste Servicepack.

Når du har erstattet den gamle explorer.exe med den nye, så får du den aktiveret ved inde i Joblisten, at klikke på Filer-Nyt Job, skriv explorer.exe (klik OK).

Herefter kan du lukke joblisten ned, og fortsætte med proceduren.
-----------------------
4. Dobbeltklik på remhax.reg som du lavede tidligere, og sig ja til at tilføje oplysninger.
-----------------------
5. Kør Blacklight igen, og tillad denne gang at fixe de fundne filer.
-----------------------
6. Kør Killbox igen.. Kopier enkeltvis følgende linier ind i tekstfeltet på Killbox og klik herefter på den røde knap med det hvide kryds. Programmet vil spørge om du vil genstarte - svar NEJ, undtagen når du har kopieret den sidste linie ind. Efter at have kopieret den sidste linie ind, skal du svare JA, og din computer vil genstarte (det vil formentlig være en langsom genstart, da infektionen vil lede efter de filer du har slettet).
C:\WINDOWS\system32\p3.ini
C:\WINDOWS\system32\klogini.dll
C:\WINDOWS\system32\avpu32.dll
C:\WINDOWS\system32\avpu32.sys
C:\WINDOWS\system32\avpu64.sys
C:\WINDOWS\system32\qy.sys
C:\WINDOWS\system32\qz.dll
C:\WINDOWS\system32\qz.sys
-----------------------
7. Når computeren har genstartet, kører du igen remhax.reg.
-----------------------
8. Ny genstart. Kør HJT, hvor du fixer denne linie (hvis den er her).
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll
-----------------------
9. Endnu en genstart, lav en ny HJT-log, som du lægger herind. Lav også en ny blacklight-log, som du lægger herind.

Blacklight fandt intet.

killbox fandt ikke filerne.

Logfile of HijackThis v1.99.1
Scan saved at 23:35:35, on 26-09-2005
Platform: Windows XP SP1 (WinNT 5.01.3590)
MSIE: Internet Explorer v6.00 SP1 (6.00.3590.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\serverappliance\appmgr.exe
C:\WINDOWS\system32\serverappliance\elementmgr.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\serverappliance\srvcsurg.exe
C:\PROGRA~1\MICROS~2\webtool.exe
C:\Program Files\RealVNC\VNC4\winvnc4.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ArGo Software Design\Mail Server\mlsrv.exe
C:\Program Files\ArGo Software Design\Mail Server\mlsrvnt.exe
C:\Documents and Settings\Administrator.JMWEB\Desktop\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.vejs.dk/
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [ArGoSoftMailServer] C:\Program Files\ArGo Software Design\Mail Server\mlsrv.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127405957727
O17 - HKLM\System\CCS\Services\Tcpip\..\{B93EB900-EF6F-42EB-AEE4-0DB689B2879A}: NameServer = 81.19.251.200,91.19.251.201
O17 - HKLM\System\CS1\Services\Tcpip\..\{B93EB900-EF6F-42EB-AEE4-0DB689B2879A}: NameServer = 81.19.251.200,91.19.251.201
O17 - HKLM\System\CS2\Services\Tcpip\..\{B93EB900-EF6F-42EB-AEE4-0DB689B2879A}: NameServer = 81.19.251.200,91.19.251.201
O23 - Service: .NET Framework Support Service (CORRTSvc) - Unknown owner - %WinDIR%\System32\svchost.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: ArGoSoft Mail Server (msServerForm) - ArGo Software Design - C:\Program Files\ArGo Software Design\Mail Server\mlsrvnt.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\winvnc4.exe" -service (file missing)

Ok, det er nok fordi Blacklight tog filerne i første omgang. I hvert fald er loggen ren :-)

Fik du også fjernet symptomerne?

For at gøre arbejdet helt færdig:
Det kan være en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.
Og så kan det også være en god ide at skjule dine systemfiler og -mapper igen, så du ikke ved en fejl kommer til at slette en vigtig fil. Det gør du samme sted, hvor du satte det til at vise alle filer, denne gang vælger du bare: Vis ikke skjulte filer og mapper.

Du kan også rense browser cachen (hvis du bruger IE-explorer)
1. Klik på Funktioner - Internetindstillinger
2. Under midlertidige filer, klik på Slet cookies
3. Under midlertidige filer, klik på slet filer – sæt flueben i slet alt offline indhold
4. Under Oversigten, klik på ryd oversigten
5. Klik på ok.
Tøm din papirkurv.
---------------------------

For at forhindre gentagelser, vil jeg anbefale dig at lægge nogle små programmer ind, som forhindrer spyware i at komme ind i første omgang. Jeg vil anbefale at følgende som minimum bør være installeret: Antivirus, Spywareguard, Spywareblaster, IE-spyad og en firewall. Alle programmer kan du finde links til herfra:
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm

Det kan også være en god ide at læse denne artikel om hvordan du kan undgå at blive inficeret i fremtiden:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414

Det kan også være en god ide at sørge for at alle Windows-opdateringer er lagt ind. Jeg vil også anbefale (nu hvor computeren er renset for snavs) at lægge Service Pack 2 ind, idet computeren bliver meget mere sikker ved det. Der har ganske vist været nogle problemer med den, men på nedenstående link er nogle tips til hvordan man undgår de fleste af problemerne:
http://windowsupdate.microsoft.com/
Undgå problemer med SP2: http://www.hcma.dk/tips&tricks.htm#sp1mm
(Inden du installerer Sp2 kan du nøjes med bare at følge pkt. 1-4. Bliver der problemer kan du hente hjælp i de links som angives efterfølgende)

Symptomerne er forsvundet som dug for solen.. tak!!!

Da det er en server som kun skal stå som www og mail vil den ikke blive rørt fremover..  og mht SP og WU så brokker de sig over at den windows jeg har ikke svarer til de opdateringer jeg vil køre.. dvs platformsnummeret er forkert..

Jeg vil når jeg kommer hjem i aften nærlæse dine råd..

Tak for denne gang :)

Satte lige point højere op.. den var jo ikke bare lige at rense :)

Det var så lidt. Og jeg takker for point -- inkl. de ekstra :-)

Angående den fejlmelding du får, så kan det måske forklare lidt af min forvirring tidligere i tråden. Jeg tænker på, om det måske kan hjælpe først at downloade SP2 som en løs fil, tage netstikket ud, og afinstallere alle opdateringer, og så se om det ikke kan  lykkes at lægge SP2 ind. Netop hvis det skal være en server med adgang internet og Mail er det jo træls, hvis den hackes af trojanere af den skuffe, som du havde her. På dette link kan du se, hvad det var du havde inde:
http://www.sophos.com/virusinfo/analyses/trojhaxdoored.html

"Allows others to access the computer", "Steals information", "Records keystrokes"

...ikke lige hvad man har lyst til at have på en server ;-)