CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo jak wywalić TR/Spy.Goldun.DO ?

jak wywalić TR/Spy.Goldun.DO ?

Witam serdecznie.
Czy ktos jest w stanie mi powiedziec jak usunac tego rootkita?

Problem dotyczy pliku c:/windows/system32/docent0.dll
Jak probuje usunac w trybie awaryjnym wiersz 20, w ktorym pojawia sie w/w plik, to ponowny skan dalej pokazuje jego obecnosc.
Jak sobie z tym poradzic? Wylaczylem przywracanie w kluczu localmachine/software/microsoft/windowsnt/systemrestore/disableSR 1

Wklejam log z HiJacka:

Logfile of HijackThis v1.99.1
Scan saved at 21:21:34, on 2006–02–23
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\Shareaza\Shareaza.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\AntiVir PersonalEdition Classic\avscan.exe
C:\Documents and Settings\Monika\Pulpit\HijackThis.exe

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
O2 – BHO: Yahoo! Toolbar Helper – {02478D38–C3F9–4EFB–9B51–7695ECA05670} – C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 – BHO: Shareaza Web Download Hook – {0EEDB912–C5FA–486F–8334–57288578C627} – D:\Shareaza\Plugins\RazaWebHook.dll
O2 – BHO: SSVHelper Class – {761497BB–D6F0–462C–B6EB–D4DAF1D92D43} – C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 – Toolbar: Yahoo! Toolbar – {EF99BD32–C1FB–11D2–892F–0090271D4F88} – C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 – HKLM\..\Run: [gcasServ] "D:\Microsoft AntiSpyware\gcasServ.exe"
O4 – HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" –atboottime
O4 – HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 – HKCU\..\Run: [Shareaza] "D:\Shareaza\Shareaza.exe" –tray
O8 – Extra context menu item: Download with &Shareaza – res://D:\Shareaza\Plugins\RazaWebHook.dll/3000
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O16 – DPF: {DF780F87–FF2B–4DF8–92D0–73DB16A1543A} (PopCapLoader Object) – http://www.popcap.com/games/popcaploader_v6.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{83C1F0A3–B28B–4CB4–BC36–6573917DD7DC}: NameServer = 217.30.129.149,217.30.137.200
O20 – Winlogon Notify: docent0 – C:\WINDOWS\SYSTEM32\docent0.dll
O23 – Service: AntiVir Scheduler (AntiVirScheduler) – H+BEDV Datentechnik GmbH – C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 – Service: AntiVir PersonalEdition Classic Service (AntiVirService) – H+BEDV Datentechnik GmbH – C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 – Service: InstallDriver Table Manager (IDriverT) – Macrovision Corporation – C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe

Odpowiedzi: 10

DRuMah:
A jak naac uprawnienia dla klucza LEGACY?


Poczyatj tu http://www.searchengines.pl/phpbb203/index.php?showtopic=6745 I przejdz do Ogólna zasada usuwania
Wiewia
Dodano
25.02.2006 09:46:31
A jak naac uprawnienia dla klucza LEGACY? A tak swoja droga– juz usunalem (a wlasciwie dezaktywowalem, bo program chyba tylko zmienia nazwy, ale w takim wypadku rootkit robi sie niegrozny) programem Blacklight Rootkit Eliminator firmy F–Secure.
DRuMah
Dodano
24.02.2006 21:07:49
Zastosuj się do posta Bobiego I następnie Start >>> Uruchom >>> regedit i z prawokliku skasować klucze

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\docent0]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DOCENTD]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\docentd]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_DOCENTD]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\docentd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DOCENTD]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\docentd]


Pamiętaj o nadaniu Uprawnień dla kluczy LEGACY przed ich kasacją! Bo inaczej nie usuniesz klucza
Wiewia
Dodano
24.02.2006 19:50:07
Jest jeszcze sterownik, który tego wszystkiego pilnuje.
Odpalisz konsole odzyskiwania i wpiszesz:
disable docentd
cd C:\WINDOWS\system32
del docent0.dll
del docentd.sys
Ostatni krok to usuniecie z rejestru kluczy, które znalazł RegSrch.
Bobi
Dodano
24.02.2006 15:56:39
Babcia@Stefa:
niee! wejdz w start–>uruchom i wpisz "regedit" a pozniej wyszukaj to hasło "docent0" i usuń wszystko co jest z nim związane.


Nie widziales co napisalem wczesniej?

Usunięcie dwóch pierwszych nie daje rezultatu (po odświeźeniu rejestru dalej tam są), a pozostałe nie chcą się usunąć– odmowa dostępu.
DRuMah
Dodano
24.02.2006 13:55:35
niee! wejdz w start–>uruchom i wpisz "regedit" a pozniej wyszukaj to hasło "docent0" i usuń wszystko co jest z nim związane.
Babcia@Stefa
Dodano
24.02.2006 13:03:56
No dobra, ale jak to wywalić? Czy pozostaje tylko format?
DRuMah
Dodano
24.02.2006 12:58:11
jak widać to chyba tu duźo tego, bo robaki typu np backdoor osiadają właśnie tam!

Tutaj:
CurrentControlSet\Services\

lub coś w tym stylu i np backdoor wysyła z tamtąd komendę do cmd.exe, ftp.exe i tft.exe (otwiera port) i nasłuchuje a potem niszczy :? a takźe się z tamtąd uruchamia jakos usługa
Babcia@Stefa
Dodano
24.02.2006 12:51:54
Oto, co dało wyszukiwanie frazy DOCENT:
Zaznaczam, źe na zdrowym komputerze źaden z tych wpisów nie występuje. Usunięcie dwóch pierwszych nie daje rezultatu (po odświeźeniu rejestru dalej tam są), a pozostałe nie chcą się usunąć– odmowa dostępu.

REGEDIT4
; RegSrch.vbs Bill James

; Registry search results for string "docent" 2006–02–24 11:35:03

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\docent0]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\docent0]
"Startup"="docent0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DOCENTD]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DOCENTD\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DOCENTD\0000]
"Service"="docentd"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DOCENTD\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DOCENTD\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DOCENTD\0000\Control]
"ActiveService"="docentd"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\docentd]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\docentd\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\docentd\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\docentd\Enum]
"0"="Root\\LEGACY_DOCENTD\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_DOCENTD]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_DOCENTD\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_DOCENTD\0000]
"Service"="docentd"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_DOCENTD\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\docentd]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\docentd\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DOCENTD]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DOCENTD\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DOCENTD\0000]
"Service"="docentd"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DOCENTD\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DOCENTD\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DOCENTD\0000\Control]
"ActiveService"="docentd"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\docentd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\docentd\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\docentd\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\docentd\Enum]
"0"="Root\\LEGACY_DOCENTD\\0000"
DRuMah
Dodano
24.02.2006 12:29:41
Ściągnij sobie ten programik Registry Search Tool puść mu szukanie na szukanie słowa docent0. I to co znajdzie wklej na forum
Wiewia
Dodano
23.02.2006 23:01:46
DRuMah
Dodano:
23.02.2006 22:26:39
Komentarzy:
10
Strona 1 / 1