Conficker?

kryton · Příspěvek od **kryton** » 16 črc 2010 06:55

Ahoj,

mám velkou a náročnou prosbu. Před časem jsem měl na některých serverech vir conficker. Po nainstalování NODa a odstraňování BitDefenderem to vypadalo, že zmizel. Tyto servery nebyly připojeny k internetu. Po čase se objevila služba ggkyjwh (viz přiložený screen), která nejde vypnout (disbale) a při každém spuštění Windows hlásí, že nebyla spuštěna. Jiné problemy nejsou(jako vysoká zátěž CPU apod.). NOD má poslední aktualizaci asi před půl rokem, ale jak říkám servery se vůbec nepřipojovaly k internetu a ten conficker tam pravděpodobně někdo přinesl notebookem či flashkou.

Můžete mi někdo poradit zda se jedná o virus? Popř. jak ho odstranit?

Budu vděčný za jakoukoliv informaci, protože servery jsou pryč a kromě toho screenu se k nim vůbec nedostanu ani vzdáleně, takže nemůžu poslat ani log z HJT.

Díky moc

Příspěvek od **Orcus** » 16 črc 2010 08:22

Zdar,

bude potřeba se prohrabat v regedit k run klicim :)) Protoze tam bude pravdepodobne zakopanej pes:)

bude to tusim HKCU mozna HKLM - currentcontrolset - services

tam podle jmena dohledej sluzbu... zkus smazat klic.

Kdyz nepujde, tak takovej workaround je ten klic editovat a pri editovani natvrdo resetovat bednu - pak by mel jit ten klic po nabehnuti win odstranit :)

Příspěvek od **Orcus** » 16 črc 2010 08:23

kdyby neslo... postni sem log z autoruns http://technet.microsoft.com/en-us/sysi ... 63902.aspx" onclick="window.open(this.href);return false;

a pak z gmeru - http://www.gmer.net" onclick="window.open(this.href);return false;

Příspěvek od **jaro3** » 16 črc 2010 08:23

ggkyjwh-- to jestli se jedná o Conficker se dá těžko posoudit.
Pravděpodobně byl odstraněn , ale nedostatečně, zůstala po něm služba. Tam v tom screenu máš v roletce nataveno Automatic- nejde tam přehodit na zakázáno ( disable)? Ta roletka se zdá funkční.

protože servery jsou pryč a kromě toho screenu se k nim vůbec nedostanu ani vzdáleně, takže nemůžu poslat ani log z HJT. --jak se k němu připojuješ? Co tvoje PC? moc tomu nerozumím.

kryton · Příspěvek od **kryton** » 16 črc 2010 08:33

Na disable to hodit nejde, vyhazuje to chybu. Bohužel jsme servery odvezli zákazníkovi, který mi nedá vzdálený přístup. Tento screen tam dělali oni. Zkoušel jsem hodně hledat na netu, čím by to mohlo být, ale nic jsem nenašel. Zkusím se s nima domluvit na úpravě toho registru.

Díky

Příspěvek od **jaro3** » 16 črc 2010 08:36

Tak to je těžké , leda by se sem připojili oni a podle zde uvedených rad to odstranili .

Příspěvek od **Orcus** » 16 črc 2010 08:40

To odebrání v registrech pomůže a chybový okno se už nebude zobrazovat. ale chce to pátrat a tu službu přímo najít.. Popř zákazníky popros o výstup z autoruns... tam je přesně vidět odkud se to spouští:)

Příspěvek od **jaro3** » 16 črc 2010 08:42

Určitě nedoporučuji aby se někdo , kdo není odborník hrabal v registrech. Mohl by si nadělat další starosti.

Oni asi nemluví pravdu, ta roletka je modrá , takže funguje, kdyby to nešlo byla by zešedlá.

to Orcus: nejspíše tam zbyla jen ta služba , v autorunu nebude vidět...

kryton · Příspěvek od **kryton** » 16 črc 2010 08:55

no já nevím asi mi nic jiného než spoléhat na ty registry nezbyde. Dobré je, že se to děje na čtyřech téměř identických serverech, tak budeme mít kdyžtak zálohu. Jsem vděčný za každou radu.

Příspěvek od **Orcus** » 16 črc 2010 10:08

jaro3 píše:Určitě nedoporučuji aby se někdo , kdo není odborník hrabal v registrech. Mohl by si nadělat další starosti.

Oni asi nemluví pravdu, ta roletka je modrá , takže funguje, kdyby to nešlo byla by zešedlá.

to Orcus: nejspíše tam zbyla jen ta služba , v autorunu nebude vidět...

No kdyby tam zbyla sluzba... tak by se nezobrazovalo po startu to okno ze se ji nepodarilo spustit :)) spis to vypada ze sluzba je pokopana a jediny kvuli semu se zobrazuje je ten registr... pac jinak by se prece po startu spustila :)

Příspěvek od **Orcus** » 16 črc 2010 10:10

Btw... ta roletka nemusi bejt zašedlá aby nefungovala :))

kryton · Příspěvek od **kryton** » 19 črc 2010 16:06

Ahoj,

tak jsem si zařídil připojení přes RDP a tady je výpis z HiJackThis. Můžete mi prosím někdo poradit, zda je z toho patrné proč se tam objevila ta služba a jak ji případně zlikvidovat (viz. výše)

Děkuji mnohokrát

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 2:01:28 PM, on 7/19/2010
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\HP\Cissesrv\cissesrv.exe
C:\WINDOWS\system32\cpqrcmc.exe
C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\NTP\bin\ntpd.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\sysdown.exe
C:\hp\hpsmh\bin\smhstart.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ERA\VersionManager\VersionManager.exe
C:\WINDOWS\system32\CPQNiMgt\cpqnimgt.exe
C:\WINDOWS\system32\CpqMgmt\cqmgserv\cqmgserv.exe
C:\WINDOWS\system32\CpqMgmt\cqmgstor\cqmgstor.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\WINDOWS\system32\CpqMgmt\cqmghost\cqmghost.exe
C:\WINDOWS\system32\dllhost.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\Program Files\ERA\TP\mbserver.exe
C:\Program Files\ERA\TP\cfgmgr.exe
C:\Program Files\ERA\TP\dcomp.exe
C:\Program Files\ERA\TP\unidap.exe
C:\Program Files\ERA\TP\pdrec.exe
C:\Program Files\ERA\TP\hwmgr.exe
C:\Program Files\ERA\TP\diag_coder.exe
C:\Program Files\ERA\TP\ntpinfo.exe
C:\Program Files\ERA\TP\cmdmgr.exe
C:\Program Files\ERA\TP\fdsmgr2.exe
C:\Program Files\ERA\TP\irrma.exe
C:\Program Files\ERA\TP\mssenc.exe
C:\Program Files\ERA\TP\ipcom.exe
C:\Program Files\ERA\TP\outmgr.exe
C:\Program Files\ERA\TP\enrec.exe
C:\Program Files\ERA\TP\vafit.exe
C:\Program Files\ERA\TP\diag_pre.exe
C:\Program Files\ERA\TP\unitgnum.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HP\NCU\cpqteam.exe
C:\Program Files\Acronis\TrueImageEchoServer\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageEchoServer\TimounterMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\mmc.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm" onclick="window.open(this.href);return false;
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896" onclick="window.open(this.href);return false;
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/softAdmin.htm" onclick="window.open(this.href);return false;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157" onclick="window.open(this.href);return false;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896" onclick="window.open(this.href);return false;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896" onclick="window.open(this.href);return false;
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157" onclick="window.open(this.href);return false;
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = res://shdoclc.dll/softAdmin.htm" onclick="window.open(this.href);return false;
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.microsoft.com/" onclick="window.open(this.href);return false;
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CPQTEAM] "C:\Program Files\HP\NCU\cpqteam.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageEchoServer\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageEchoServer\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 6868642562" onclick="window.open(this.href);return false;
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Program Files\HP\Cissesrv\cissesrv.exe
O23 - Service: HP Insight NIC Agents (CpqNicMgmt) - Hewlett-Packard Company - C:\WINDOWS\system32\CPQNiMgt\cpqnimgt.exe
O23 - Service: HP ProLiant Remote Monitor Service (CpqRcmc) - Hewlett-Packard Company - C:\WINDOWS\system32\cpqrcmc.exe
O23 - Service: HP Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
O23 - Service: HP Insight Foundation Agents (CqMgHost) - Hewlett-Packard Company - C:\WINDOWS\system32\CpqMgmt\cqmghost\cqmghost.exe
O23 - Service: HP Insight Server Agents (CqMgServ) - Hewlett-Packard Company - C:\WINDOWS\system32\CpqMgmt\cqmgserv\cqmgserv.exe
O23 - Service: HP Insight Storage Agents (CqMgStor) - Hewlett-Packard Company - C:\WINDOWS\system32\CpqMgmt\cqmgstor\cqmgstor.exe
O23 - Service: ERA PCP TP - Era Corporation - C:\Program Files\ERA\TP\pcpx.exe
O23 - Service: Ixia Performance Endpoint (IxiaEndpoint) - Ixia - C:\Program Files\Ixia\Endpoint\endpoint.exe
O23 - Service: Network Time Protocol Daemon (NTP) - Unknown owner - C:\Program Files\NTP\bin\ntpd.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Hewlett-Packard Company - C:\WINDOWS\system32\sysdown.exe
O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe
O23 - Service: ERA VersionManager (VersionManager) - ERA a.s. - C:\Program Files\ERA\VersionManager\VersionManager.exe

--
End of file - 6893 bytes

PC-HELP.CZ

CNEWS

Conficker?

Conficker?

Re: Conficker?

Re: Conficker?

Re: Conficker?

Re: Conficker?

Re: Conficker?

Re: Conficker?

Re: Conficker?

Re: Conficker?

Re: Conficker?

Re: Conficker?

Re: Conficker?