skype miner PUP.BitCoinMiner

[alganonim]

Witam forumowiczów

 

Sądziłem że sobie sam poradzę z problemem ale jak widać zwracam się o pomoc z usunięciem trojana PUP.BitCoinMiner.

 

Korzystam z systemu win 7 x64 ultimate, nie załączyłem logu z GMERA ale jesli jest taka potrzeba to zaraz to zrobię, w systemie jest działająca emulacja Wincdemu, nie doszukałem się na forum informacji czy także jest w stanie zakłócić skanowanie ale jeśli jest taka potrzeba to ją odinstaluję i powtórzę skany.

 

Po pierwszej częściowo udanej próbie usunięcia tego paskudztwa programem Malwarebytes próbowałem ustalić źródło infekcji, dopiero dziś chyba mi się to udało, logi wskazywały na program skype ale z niego nie korzystam na komputerze stacjonarnym i nie przypominam sobie bym go instalował.

 

Trojan prawdopodobnie siedział w pliku metro.exe - gry Metro Last Light (plik scenowy z demówką grupy, a nie główny uruchamiający grę MetroLL.exe)  wiem że głupio zrobiłem i jakie było źródło pochodzenia gry ale wolę się przyznać i ostrzec pozostałych. Ikona aplikacji C:\ProgramData\Windows Service Manager0\bjrwzmzis.exe podobna do pliku metro.exe

Katalog ten i plik są ukryte a system sam wyłącza pokazywanie ukrytych plików.

 

 

Pierwsze spostrzeżenie to że obciążenie procesora wzrosło do granic 40-90% podczas korzystania z pulpitu, bez uruchamiania jakichkolwiek aplikacji -  odpowiedzialny proces macromedia.exe , przy pierwszej infekcji w katalogu C:\Users\user\Desktop\WindowsPExE, a po użyciu Malwarebytes i tymczasowym usunięciu następnie  w katalogu C:\Users\user\AppData\Roaming\WinDefenders. Próbowałem usunąć trojana combofixem, później doczytałem że niewłaściwie, dlatego załączam wszystkie dostępne logi. W katalogach  (pierwotnie) WindowsPExE a potem (WinDefenders) znajdowały się pliki minera biblioteki i cała reszta, wyzwalaczem jest chyba ten z Windows Service Manager0, pewnie jeszcze z jakiejś usługi której nistety nie odnalazłem i bóg wie czego jeszcze.

 

 

Proszę o pomoc i wskazówki

 

 

 

 

Po zabiciu procesu macromedia, usuwałwem w autostracie wspomniane exeki i skype, który znajdował się gdzieś poza właściwym katalogiem, w harmonogramie zadań znalazłem fałszywy autoupdate który także przywoływał te exeki,

 

Korzystam z kilku niestandardowych rozwiązań i wolałbym, tego nie zmieniać, może to być istotne a na pewno wyjdzie w logach, win7 w trybie testowym bo korzysta z niepodpisanych sterowników umożliwiających podkręcanie odświeżania monitora, w autostarcie profile kolorów ultramon, może się gdzieś przewijać displayprofile i cpkeeper i cała masa podobnych ...

Extras.Txt

OTL.Txt

ComboFix.txt

mbam-log-2013-05-22 (15-51-28).txt

[picasso]

Istotnie, widzę tu dużo obiektów infekcji.

 

 

nie załączyłem logu z GMERA ale jesli jest taka potrzeba to zaraz to zrobię, w systemie jest działająca emulacja Wincdemu, nie doszukałem się na forum informacji czy także jest w stanie zakłócić skanowanie ale jeśli jest taka potrzeba to ją odinstaluję i powtórzę skany.

 

WinCDEmu akurat nie wchodzi w obszar zainteresowań.

 

 

Trojan prawdopodobnie siedział w pliku metro.exe - gry Metro Last Light (plik scenowy z demówką grupy, a nie główny uruchamiający grę MetroLL.exe) wiem że głupio zrobiłem i jakie było źródło pochodzenia gry ale wolę się przyznać i ostrzec pozostałych. Ikona aplikacji C:\ProgramData\Windows Service Manager0\bjrwzmzis.exe podobna do pliku metro.exe
Katalog ten i plik są ukryte a system sam wyłącza pokazywanie ukrytych plików.

(...)

Pierwsze spostrzeżenie to że obciążenie procesora wzrosło do granic 40-90% podczas korzystania z pulpitu, bez uruchamiania jakichkolwiek aplikacji - odpowiedzialny proces macromedia.exe , przy pierwszej infekcji w katalogu C:\Users\user\Desktop\WindowsPExE

 

Czy usuwałeś Metro Last Light z systemu? Ja widzę to wszystko w pełni zainstalowane:

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Metro: Last Light_is1" = Metro: Last Light
"Steam App 43110" = Metro 2033

[2013-05-14 19:42:25 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metro Last Light
[2013-05-14 19:42:25 | 000,000,747 | ---- | C] () -- C:\Users\Public\Desktop\Metro Last Light.lnk

Wstępna próba usuwania:

1. Pozbądź się wszystkiego co związane z grą.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKU\S-1-5-21-228855754-5744613-1243827483-1000\..\SearchScopes\{3A40E547-20FD-44a2-94D0-1C98342D1507}: "URL" = http://search.daum.net/search?nil_profile=ie&ref_code=ms&q=%7BsearchTerms%7D
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Windows Service Manager] C:\ProgramData\Windows Service Manager0\jtkyyvgiu.exe ()
O4 - HKU\S-1-5-21-228855754-5744613-1243827483-1000..\Run: [Windows Service Manager] C:\ProgramData\Windows Service Manager0\jtkyyvgiu.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-228855754-5744613-1243827483-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-228855754-5744613-1243827483-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-228855754-5744613-1243827483-1006\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O27:64bit: - HKLM IFEO\hijackthis.exe: Debugger - rzsbko_.exe File not found
O27:64bit: - HKLM IFEO\housecalllauncher.exe: Debugger - qikkcc_.exe File not found
O27:64bit: - HKLM IFEO\rstrui.exe: Debugger - xsljql_.exe File not found
O27:64bit: - HKLM IFEO\spybotsd.exe: Debugger - qafpdc_.exe File not found
O27 - HKLM IFEO\hijackthis.exe: Debugger - rzsbko_.exe File not found
O27 - HKLM IFEO\housecalllauncher.exe: Debugger - qikkcc_.exe File not found
O27 - HKLM IFEO\rstrui.exe: Debugger - xsljql_.exe File not found
O27 - HKLM IFEO\spybotsd.exe: Debugger - qafpdc_.exe File not found

:Files
C:\ProgramData\Windows Service Manager0
C:\Users\user\AppData\Roaming\WinDefenders
C:\Users\user\AppData\Roaming\eDownload
C:\Users\user\AppData\Roaming\eIntaller
C:\Users\user\Desktop\WindowsPExE — skrót.lnk

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu F:\_OTL powstanie log z wynikami usuwania. Przedstaw go.

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER. Dodatkowo podaj mi co jest w katalogu "Color Profile Keeper", który wygląda nieco podejrzanie. Uruchom SystemLook x64 i w oknie wklej:

:dir
C:\Users\user\AppData\Roaming\Color Profile Keeper /s

Klik w Look.



.

[alganonim]

Witam
 
Mam przygotowany opis i logi ale nie mogę ich zamieścić, po próbie wczytania jakiegokolwiek pliku do posta otrzymuję (Wysyłanie ominięte (Błąd IO)
 
po uruchomieniu SystemLook x64
 

SystemLook 30.07.11 by jpshortstuff
Log created at 20:17 on 23/05/2013 by user
Administrator - Elevation successful

========== dir ==========

C:\Users\user\AppData\Roaming\Color Profile Keeper - Parameters: "/s"

---Files---
settings.ini	--a---- 80 bytes	[21:10 21/05/2013]	[21:10 21/05/2013]

No folders found.

-= EOF =-

 
Dodatkowo zawartośc pliku settings.ini Color Profile Keeper
 

[General]
monitor0=C:/Users/user/Documents/monitor 0.cpk
lock=1
minimized=0

 
Nie jest to nic groźnego program wczytuje wcześniej zapisany profil kolorów z ustawieniami gamma z panelu Nvidii i ma za zadanie wymusić działanie tego profilu nawet w trybie pełnoekranowym 3d, z czym jak wiadomo oprogramowanie Nvidii ma problem od dłuższego czasu.

Zdaje się że wszystkie objawy zniknęły, nie ma niestandardowego obciążenia CPU/GPU, ukryte pliki systemowe nie są ponownie ukrywane przez mechanizm trojana, aplikacje do zwalczania szkodników otwierają się normalnie z czym wcześniej był problem bo jak widzę trojan zadbał o to by uniemożliwić ich pracę.

Teraz mam wątpliwości co było źródłem infekcji, plik metro.exe podobnie jak exek z katalogu Windows Service Manager0 wyglądał podobnie bo obydwa były plikami typu macromedia, choć niczego nie wykluczam.

Kilka miesięcy temu zwalczyłem infekcję która objawiała się otwieraniem kilku reklamowych stron w przeglądarce, a przypałętała się po instalacji jak mi się zadawało z oficjalnego źródła darmowej przeglądarki graficznej Infraview, możliwe że coś pozostało po tym lub źródło było jeszcze inne.

Bardzo dziękuję za udzieloną mi pomoc, z nadzieją że już udało się usunąć wszelkie robactwo, pozdrawiam [ ]

[picasso]

Czy z poziomu innej przeglądarki taki sam błąd?

[alganonim]

Po restarcie zadziałało i z IE a potem i z FF ale musiałem się przelogować, do wysyłania plików log nie mam uprawnień, txt już mogę wysyłać.

 

Załączam wszystko jeszcze raz systemlook w poście wyżej jako kod

05232013_145513.txt

OTL.txt

GMER.txt

[picasso]

Infekcja wygląda na pomyślnie usuniętą. Czynności końcowe:

1. Na Twojej liście zainstalowanych widzę Pandora Service. Spokojnie możesz to odinstalować, to "nadbudówka" instalacji KMPlayer / POTPlayer.

2. Usuń narzędzia: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\Windows\erdnt. ComboFix widzę już odinstalowałeś.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Drobne aktualizacje przeglądarek: KLIK. Wersje widziane w logu:

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 18.0.1025.168
"Mozilla Firefox 20.0.1 (x86 pl)" = Mozilla Firefox 20.0.1 (x86 pl)

Sugeruję też odinstalować Spybot - Search & Destroy. Program ma starą konstrukcję i na dzień obecny słabo sobie radzi. Lepszym skanerem jest MBAM.

 

 

Teraz mam wątpliwości co było źródłem infekcji, plik metro.exe podobnie jak exek z katalogu Windows Service Manager0 wyglądał podobnie bo obydwa były plikami typu macromedia, choć niczego nie wykluczam.

 

Nie jestem w stanie stwierdzić co było źródłem. Zasugerowałeś mnie wątkiem gry.

 

Kilka miesięcy temu zwalczyłem infekcję która objawiała się otwieraniem kilku reklamowych stron w przeglądarce, a przypałętała się po instalacji jak mi się zadawało z oficjalnego źródła darmowej przeglądarki graficznej Infraview, możliwe że coś pozostało po tym lub źródło było jeszcze inne.

 

Nie wiązałabym tych faktów ze sobą. To inny typ: adware.

 

do wysyłania plików log nie mam uprawnień, txt już mogę wysyłać

 

Tak, w załącznikach dopuszczam tylko *.TXT.


.

[alganonim]

Serdecznie dziękuję jeszcze raz za pomoc, wskazówki 2,3 wykonane zaraz po czyszczeniu OTL, 1,4 zrobię po powrocie do domu.

Pondorę wywalam zawsze ale nie sądziłem że się mocniej wgryza w system.

 

Mam tylko pytanie czy najnowszą wersję spybota 2.0 także uważasz za słabą ? Bo właśnie z niej korzystam na kilkudziesięciu komputerach, z MBAM także korzystam ale że ma ograniczone funkcje w wersji darmowej, to korzystam z niego tylko doraźnie przy podejrzeniu infekcji, a nie zapobiegawczo.

[picasso]

Mam tylko pytanie czy najnowszą wersję spybota 2.0 także uważasz za słabą ? Bo właśnie z niej korzystam na kilkudziesięciu komputerach, z MBAM także korzystam ale że ma ograniczone funkcje w wersji darmowej, to korzystam z niego tylko doraźnie przy podejrzeniu infekcji, a nie zapobiegawczo.

 

Tak, przecież w raporcie widać wersję 2. Ta "reaktywacja" nic szczególnego nie wnosi do sprawy, mam wrażenie że program zrobiono na siłę, a celem rzeczywistym jest komercyjna wersja. Tenże Spybot:

- Nie jest odporny. Pracuje na zbyt niskim poziomie, tzn. posługuje się zestawem usług programowych, nie ma własnego sterownika immunizacyjnego. Nie ma też techniki umożliwiającej obejście blokady malware (Chameleon MBAM): KLIK

- "Immunizacja" systemu to dość powierzchowna sprawa, realizowana wg archaicznych założeń. Spybot po prostu w obsługiwanych przeglądarkach używa ich natywne właściwości, by ograniczyć pewną funkcjonalność i wstawić listę blokowanych domen. Poza tym, modyfikuje plik HOSTS systemu wstawiając tam listę blokowanych adresów (to ma zresztą skutki uboczne, plik HOSTS dzierżący kilkanaście tysięcy wpisów może zamulić usługę Klient DNS). Te zabezpieczenia są słabe, bo są statyczne. Nie ma tu faktycznej ochrony w czasie rzeczywistym, reakcji przy otwieraniu nieznanej strony egzekwującej malware (bo nie ma tego adresu w "definicjach" statycznych, bo blokada w przeglądarce nie adresuje tego exploitu...).

- Ma niską skuteczność. Jeszcze mi się nie zdarzyło na forum, by wykrył coś z nowych rzeczy, jakieś ciastka i inne drobnostki, ale nie taki wysmakowany zawodnik jak np. ZeroAccess.

- Skoro o ograniczeniach wersji darmowej mowa, to porównanie nie działa na niekorzyść MBAM: KLIK / KLIK. Podtrzymuję, że MBAM jest wart więcej.

 

Przy okazji, w Twoim raporcie widać, że infekcja się za niego brała, nałożyła debuger uniemożliwiający uruchomienie:

 

O27:64bit: - HKLM IFEO\spybotsd.exe: Debugger - qafpdc_.exe File not found

 

 

.