MBAM opakovane hlasi Hijack.WindowsUpdates

[offline007]

Dobry den,

Malwarebytes mi opakovane hlasi 2 zaznamy v registroch Hijack.WindowsUpdates.
Ked ich odstranim, pri dalsej kontrole najde to iste. Znovu a znovu.
Pomozete prosim ?

Prikladam vypis logu z MBAM:

Malwarebytes' Anti-Malware 1.41
Verzia databázy: 2866
Windows 5.1.2600 Service Pack 3

28.9.2009 9:58:36
mbam-log-2009-09-28 (09-58-36).txt

Typ kontroly: Rýchla
Objektov kontrolovaných: 114252
Uplynutý cas: 3 minute(s), 41 second(s)

Infikovaných procesov pamäte: 0
Infikovaných modulov pamäte: 0
Infikovaných registracných klúcov: 0
Infikovaných registracných hodnôt: 0
Infikovaných registracných údajov položiek: 2
Infikovaných priecinkov: 0
Infikovaných súborov: 0

Infikovaných procesov pamäte:
(Žiadne škodlivé položky)

Infikovaných modulov pamäte:
(Žiadne škodlivé položky)

Infikovaných registracných klúcov:
(Žiadne škodlivé položky)

Infikovaných registracných hodnôt:
(Žiadne škodlivé položky)

Infikovaných registracných údajov položiek:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.

Infikovaných priecinkov:
(Žiadne škodlivé položky)

Infikovaných súborov:
(Žiadne škodlivé položky)

[offline007]

Obsah DDS:


DDS (Ver_09-09-24.01) - NTFSx86
Run by JA at 10:27:01,65 on po 28.09.2009
Internet Explorer: 7.0.5730.13
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.421.1033.18.2047.1279 [GMT 2:00]

AV: ESET Smart Security 3.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET personal firewall *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}

============== Running Processes ===============

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
svchost.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Canon\MultiPASS\mpservic.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Canon\MultiPASS\monitr32.exe
C:\Program Files\Canon\MultiPASS\MPTBox.exe
C:\WINDOWS\system32\ctfmon.exe
C:\lotus\organize\easyclip6.exe
C:\WINDOWS\system32\FxRedir.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\JA\Desktop\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.google.com/
BHO: Podpora odkazu pro Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll
BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\avg\avg8\avgssie.dll
BHO: SSVHelper Class: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre1.6.0_05\bin\ssv.dll
BHO: IEHlprObj Class: {ce7c3cf0-4b15-11d1-abed-709549c10000} - c:\lotus\organize\iehelper.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
mRun: [NeroFilterCheck] c:\program files\common files\ahead\lib\NeroCheck.exe
mRun: [SoundMAXPnP] c:\program files\analog devices\core\smax4pnp.exe
mRun: [SoundMAX] "c:\program files\analog devices\soundmax\Smax4.exe" /tray
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 8.0\reader\Reader_sl.exe"
mRun: [WinampAgent] c:\program files\winamp\winampa.exe
mRun: [StartCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [egui] "c:\program files\eset\eset smart security\egui.exe" /hide /waitservice
mRun: [MP_STATUS_MONITOR] "c:\program files\canon\multipass\monitr32.exe" I
mRun: [MPTBox] "c:\program files\canon\multipass\MPTBox.exe"
mRun: [Malwarebytes Anti-Malware (reboot)] "c:\program files\malwarebytes' anti-malware\mbam.exe" /runcleanupscript
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\lotuso~1.lnk - c:\lotus\organize\easyclip6.exe
IE: E&xportovať do programu Microsoft Excel - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC} - c:\program files\java\jre1.6.0_05\bin\ssv.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
IE: {B4E30F61-16D9-11D3-85D1-005004229569} - {85E0B172-04FA-11D1-B7DA-00A0C90348D6} - c:\lotus\organize\bandobjs.dll
DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} - hxxp://go.microsoft.com/fwlink/?linkid=58813
DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://go.microsoft.com/fwlink/?linkid=39204
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/ ... 7744588984
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\ja\applic~1\mozilla\firefox\profiles\trsl0v6r.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.sk/
FF - plugin: c:\program files\google\update\1.2.183.7\npGoogleOneClick8.dll

---- FIREFOX POLICIES ----
c:\program files\mozilla firefox\greprefs\all.js - pref("capability.policy.default.XMLHttpRequest.channel", "noAccess");
c:\program files\mozilla firefox\greprefs\all.js - pref("javascript.options.jit.chrome", false);
c:\program files\mozilla firefox\greprefs\all.js - pref("security.checkloaduri", true);
c:\program files\mozilla firefox\greprefs\all.js - pref("bidi.characterset", 1);
c:\program files\mozilla firefox\defaults\pref\channel-prefs.js - pref("app.update.channel", "release");
c:\program files\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".sk");

============= SERVICES / DRIVERS ===============

R0 ViBus;ViBus;c:\windows\system32\drivers\ViBus.sys [2008-2-5 16896]
R0 ViPrt;VIA SATA IDE Device Driver;c:\windows\system32\drivers\ViPrt.sys [2008-2-5 52736]
R1 VD_FileDisk;VD_FileDisk;c:\windows\system32\drivers\vd_filedisk.sys [2008-10-16 15872]
R2 ekrn;Eset Service;c:\program files\eset\eset smart security\ekrn.exe [2008-10-24 468224]
R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2007-7-20 89600]
R3 PSched;QoS Packet Scheduler;c:\windows\system32\drivers\psched.sys [2007-7-27 69120]
S2 gupdate1c990cb2357fea0;Služba Google Update (gupdate1c990cb2357fea0);c:\program files\google\update\GoogleUpdate.exe [2009-2-17 133104]
S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;c:\windows\system32\drivers\atl01_xp.sys --> c:\windows\system32\drivers\atl01_xp.sys [?]
S3 esihdrv;esihdrv;c:\docume~1\ja\locals~1\temp\esihdrv.sys [2009-8-11 107256]

=============== Created Last 30 ================

2009-09-25 13:35 <DIR> --d----- c:\docume~1\ja\applic~1\Malwarebytes
2009-09-25 13:35 38,224 a------- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-25 13:35 19,160 a------- c:\windows\system32\drivers\mbam.sys
2009-09-25 13:35 <DIR> --d----- c:\program files\Malwarebytes' Anti-Malware
2009-09-25 13:35 <DIR> --d----- c:\docume~1\alluse~1\applic~1\Malwarebytes
2009-09-14 09:29 <DIR> --d----- c:\program files\WinDjView
2009-09-04 07:54 <DIR> --d----- c:\program files\Doc Reader

==================== Find3M ====================

2008-12-11 09:47 16 a------- c:\documents and settings\ja\ppfE82.dll

============= FINISH: 10:27:23,46 ===============

[offline007]

Urobil som vsetko podla navodu, polozky 2 a 5 sa naistalovali OK, pri polozek 1, 3, 4, 6 sa objavila hlaska:

Kluc D:/dokumenty /... sa neda importovat. Nie vsetky udaje sa zapisali do databazy Registry. Niektore kluce su otvorene systemom alebo inymi procesmi.

Dal som restart a pustil kontrolu MBAM, znovu sa objavili 2 zaznamy, tu je vypis logu:

Malwarebytes' Anti-Malware 1.41
Verzia databázy: 2866
Windows 5.1.2600 Service Pack 3

28.9.2009 11:14:43
mbam-log-2009-09-28 (11-14-43).txt

Typ kontroly: Rýchla
Objektov kontrolovaných: 114020
Uplynutý cas: 3 minute(s), 57 second(s)

Infikovaných procesov pamäte: 0
Infikovaných modulov pamäte: 0
Infikovaných registracných klúcov: 0
Infikovaných registracných hodnôt: 0
Infikovaných registracných údajov položiek: 2
Infikovaných priecinkov: 0
Infikovaných súborov: 0

Infikovaných procesov pamäte:
(Žiadne škodlivé položky)

Infikovaných modulov pamäte:
(Žiadne škodlivé položky)

Infikovaných registracných klúcov:
(Žiadne škodlivé položky)

Infikovaných registracných hodnôt:
(Žiadne škodlivé položky)

Infikovaných registracných údajov položiek:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.

Infikovaných priecinkov:
(Žiadne škodlivé položky)

Infikovaných súborov:
(Žiadne škodlivé položky)

[offline007]

Urobil som vsetko podla navodu. MBAM znovu nasiel tie iste dve polozky.
Prikladam vypis logu avenger.txt :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Program "regedit.exe /s c:\zapis1.reg" successfully queued to run on reboot.
Program "regedit.exe /s c:\zapis2.reg" successfully queued to run on reboot.
Program "regedit.exe /s c:\zapis3.reg" successfully queued to run on reboot.
Program "regedit.exe /s c:\zapis4.reg" successfully queued to run on reboot.
Program "regedit.exe /s c:\zapis5.reg" successfully queued to run on reboot.
Program "regedit.exe /s c:\zapis6.reg" successfully queued to run on reboot.

Completed script processing.

*******************

Finished! Terminate.

[offline007]

Viem pustit Regedit z prikazoveho riadku a nalistovat prislusne retazce.
Prosim o presny postup co mam prepisat a ako.
Dakujem

[offline007]

V registroch mam ControlSet001 a 003-
Nie 002. Je to OK?

Hovorim o tomto retazci:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv

[offline007]

Skusil som, objavila sa hlaska:

ImagePath sa neda upravovat. Chyba pocas zapisovania obsahu hodnoty.

[offline007]

Ahoj Naughty,

vyskusal som GMER. Zmenil som len dve polozky:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS

Pri obidvoch zmenach PC zamrzlo, ale zmeny ulozilo (musel som dat tvrdy restart). Ostatne polozky sa uz zmenili automaticky (fystem na system).
Hned mi aj prisli aktualizacie pre Windows a kontrola MBAM bola bez nalezu !!!

Dakujem mnohokrat za pomoc

Da sa odmena vyplatit cez internetbanking ?

Prajem vsetko dobre

[destilator]

zdravim vsetkych, ja mamten isty problem co kolega offline 007. malwarebytes mi naslo vyrusy, vsetky odstranilo okrem dvoch. tych istych co opisuje offline 007. skusil som vsetky moznosti co si ponukol jemu a nic. stale je to tam. %fystemroot%\system32\svchost.exe -k netsvcs.
vedel by si mi prosimta poradit ako to odstranit?

dakujem.

[vyosek]

Zdravim a pekny den preji

Stahnete OTL (viz muj podpis) a ulozte jej na plochu

• Pokud pouzivate Win Vista ci W7, kliknete na OTL pravym a dejte Run As Administrator ci Spustit jako spravce
• Pokud pouzivate 64bitovy OS, zkontrolujte, zda-li je zaskrtnuty ctverecek u Pro 64 bitové OS, pokud ne, zaskrtnete jej
• Zaskrtnete okenko Pro vsechny uzivatele
• Zaskrtnete okenko Kontrola na havet "LOP"
• Zaskrtnete okenko Kontrola na havet "Purity"
• Stari souboru zmente z 30 dnu na 7 dnu
• Do spodniho okenka Vlastni skenovani/opravy vlozte skript nize

• Kód: Vybrat vše

  netsvcs
  drivers32
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
  c:\windows\*.* /U
  %SYSTEMDRIVE%\*.exe
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  /md5start
  eventlog.dll
  scecli.dll
  netlogon.dll
  cngaudit.dll
  sceclt.dll
  ntelogon.dll
  logevent.dll
  iaStor.sys
  nvstor.sys
  atapi.sys
  IdeChnDr.sys
  viasraid.sys
  AGP440.sys
  vaxscsi.sys
  nvatabus.sys
  viamraid.sys
  nvata.sys
  nvgts.sys
  iastorv.sys
  ViPrt.sys
  eNetHook.dll
  ahcix86.sys
  KR10N.sys
  nvstor32.sys
  ahcix86s.sys
  nvrd32.sys
  symmpi.sys
  adp3132.sys
  mv61xx.sys
  nvraid.sys
  ndis.sys
  winlogon.exe
  explorer.exe
  userinit.exe
  lsass.exe
  svchost.exe
  smss.exe
  hal.dll
  ws2_32.dll
  tcpip.sys
  cryptsvc.dll
  Changer.sys
  JakNDis.sys
  isapnp.sys
  cdrom.sys
  autochk.exe
  /md5stop
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\System32\config\*.sav
  %systemroot%\system32\*.dll /lockedfiles
  reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon" /v GinaDLL /c
  reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
  reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
  %systemroot%\system32\drivers\*.sys /3
  %systemroot%\system32\*.* /3
  CREATERESTOREPOINT

• Kliknete na tlacitko Prohledat
• Po dokonceni skenu (cca 5 az 10 min) se objevi logy OTL.txt a Extras.txt, oba sem vlozte

[destilator]

myslim ze to mam vsetko oznacene, len nemozem najst ten stvorcek kde sa oznacuje 64 bit os. ja mam obycajny windows xp. ale preistotu som to chcel skontrolovat ci to neni oznacene. no nemozem to najst.
a este neviem ktorym tlacidkom sa to spusta. viete, ja som iba podpriemerny uzivatel pc.

[destilator]

preistotu posielam obrazok, ako som to pooznacoval

OTL.jpg

(101.01 KiB) Staženo 19 x

[vyosek]

Vy nemate 64bit OS takze to nenajdete, jinak mate oznaceni dobre

A prohledavani se spousti tlacitkem Run Scan - bohuzel zatim nemame OTL v SK jazyce

[destilator]

oukej, idem nato

[vyosek]

Budu tu logy vyhlizet...