WIN32/pronny.KU robak - samoczynne wysyłanie maili, failure notice

[znanamarka]

Problem jest na zainfekowanym laptopie.

Eset wykrywa wirusa jako WIN32/pronny.KU robak. Po przeskanowaniu jakos udaje mu sie go przeniesc do kwarantanny.

 

Problem jest jednak jeszcze z innymi szkodnikami. Jednym z nich jest wirus, który wysyła wiele maili na losowo wymyslone adresy przez co na skrzynkę przychodzą zwrotki. Dziennie potrafi ich przyjść ok 2000 co jest denerwujace.

 

Ponizej tresc wiadomości:

 

failure notice

 

Hi. This is the qmail-send program at home.pl.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<RFatzpatrick@ironhillbrewery.com>:
184.183.191.14 does not like recipient.
Remote host said: 550 5.7.1 Unable to deliver to <RFatzpatrick@ironhillbrewery.com>
Giving up on 184.183.191.14.

--- Below this line is a copy of the message.

Return-Path: <logistyka@aaa.pl>
Return-Path: <logistyka@aaa.pl>
Received: from 41-66-224-226-dedicated.4u.com.gh [41.66.224.226] (HELO UNIGLOBE-16)
by sarens.home.pl [212.85.108.109] with SMTP (IdeaSmtpServer v0.80)
id d852504be1204d85; Thu, 4 Apr 2013 15:32:06 +0200
From: Mariel Collier <logistyka@aaa.pl>
To: RFatzpatrick@ironhillbrewery.com <RFatzpatrick@ironhillbrewery.com>
Subject: Re: Your Photos
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.3790.4682
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.4682
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: base64

SGVsbG8sIA0KYXMgcHJvbWlzZWQgeW91ciBwaG90b3MgIGh0dHA6Ly9mcmVkb2Jvbi5mcmVlLmZy
L2dhbEllcnkuaHRt

Po zapoznaniu z wieloma stronami wykonałem logi OTL (pierwszy log to OTL AR 1).

 

Ponieważ czas naglił odważyłem sie na skanowanie Combofixem. System nie jest modyfikowany, wszystko przebieglo pomyslnie.

Za pierwszym razem znalazl szkodniki i je usunoł. Za drugim razem ponownie cos znalazl i usunoł. Za 3 to samo, usunoł i przywrocil

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Dane aplikacji\common.data
.
Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono
Plik odzyskano z - c:\windows\erdnt\cache\userinit.exe

Po tym zabiegu tez wykonalem skan OTL OTL ar po 3 skan combofix

 

za 4 razem jdnak juz nic nie znalazł (logi: Combofix AR1- AR4)

Troche to pomoglo przez pare godzin maile samoczynnie sie nie wysyłały aż nagle problem powrocił. Na odchodne wykonałem skan OTL, który proszę o sprawdzenie OTL AR 2 final.

Dodatkowo umieszczam screen z dziennika ESETa.

 

 

Extras AR.Txt

log combofix ar 1.txt

log combofix ar 2.txt

log combofix ar 4.txt

log Combofix ar3.txt

OTL AR 2 final.txt

OTL ar po 3 skan combofix.txt

[picasso]

Brakuje obowiązkowego raportu z GMER. Zostały poprawki i usunięcie adware.

1. Przez Panel sterowania odinstaluj adware MyAshampoo Toolbar. Następnie wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.
 
2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
[2013-04-04 10:43:16 | 000,001,068 | -H-- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\common.data
[2013-04-03 15:00:35 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\jzwryyk
[2013-04-02 08:01:39 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\%appdata%
[2008-04-15 14:00:00 | 000,052,224 | -HS- | C] () -- C:\Documents and Settings\All Users\dxllgwio.exe
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Reg Error: Value error.)
DRV - File not found [File_System | On_Demand | Stopped] -- -- (StarOpen)
DRV - File not found [Kernel | Auto | Stopped] -- -- (rokdfcmc)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\A13C0~1.RED\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - [2013-03-29 09:09:58 | 000,078,848 | ---- | M] () [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\tvkctjbu.sys -- (tvkctjbu)

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\DOCUME~1\A13C0~1.RED\USTAWI~1\Temp\tmp49a0f4b6\/load50.exe"=-
"C:\WINDOWS\system32\msiexec.exe"=-

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i zaległy GMER. Przed uruchomieniem GMER należy usunąć emulatory i sterownik SPTD:

DRV - [2010-11-18 19:01:27 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

Dołącz log utworzony przez AdwCleaner.



.

[znanamarka]

Dziekuje Ci za pomoc, ale niestety sytuacja była bardzo pilna i został zrobiony format i wgrany windows 7.

 

Po formacie i tak maile się same wysyłały ale uznałem że to jakis zmasowany atak i na skrzynce zostały założone filtry ktore wylapywaly ten spam.

Po ok. 2 tygodniach sytuacja sie poprawila i "failure" juz nie przychodziły.

 

Jeszcze raz wielkie dzieki.