Skocz do zawartości

Infekcja Crypt.XPACK.GEN


Rekomendowane odpowiedzi

Witajcie. Zmuszony jestem prosić Was o pomoc. Wrąbało mi sie cholerstwo o nazwie jak w temacie. Avira 10 wykryła go i tyle. Nie może go usunąć. W katalogu Ustawienia lokalne\temp pojawił się plik abl.old. Po usunięciu odtwarza się samoczynnie. Avira stale mnie straszy tym samym komunikatem. Jeden z dziwnych objawów to rozłączanie jednego z kont GG cojakis czas (raczej często), ale nie jestem do końca przekonany czy ma to związek z tym wirusem, czy też jest to efekt braku atualizacji AQQ (tego uzywam jako interfejsu GG).

System: Windows XP SP2. Zainstalowany COMODO Firewall i Avira. Alcohol usunięty, ale sterownika SPTD z rejestru nie udało mi sie wywalić, pomimo wykonywania instrukcji zmiany uprawnień. Prawdopodbnie jednak cos źle robię. Załączam logi z OTL, GMER i Aviry. Prose grzecznie o pomoc, gdyby czegos brakowało - dajcie znać natychmiast. Z góry dziekuje :)

AVSCAN-20110408-121535-DE4137B3.txt

Extras.Txt

OTL.Txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Patrząc na log z GMER i funkcje WS2_32.dll + kernel32.dll, zastosuj Kaspersky KatesKiller.

 

2. Następnie wyczyść lokalizacje tymczasowe via TFC - Temp Cleaner. Jeśli program nie wymusi restartu, zrób to ręcznie.

 

3. Odinstaluj Burn4Free DB Toolbar i DAEMON Tools Toolbar.

 

4. Wytwórz nowe logi z OTL + GMER.

 

 

Jeden z dziwnych objawów to rozłączanie jednego z kont GG cojakis czas (raczej często), ale nie jestem do końca przekonany czy ma to związek z tym wirusem, czy też jest to efekt braku atualizacji AQQ (tego uzywam jako interfejsu GG).

 

Toteż i zaktualizuj AQQ, najnowsza wersja z 7 kwietnia, cytuję: "AQQ 2.2.4 Axion Build 60 - Wersja Stabilna - Aktualizacja jest istotna dla wszystkich użytkowników sieci Gadu-Gadu, ze względu na wprowadzone zmiany na serwerach Gadu-Gadu.".

 

 

 

.

Odnośnik do komentarza

Picasso jak zwykle szybka i skuteczna, KatesKiller zniszczył drania w pięć sekund. Pytanie zasadnicze brzmi: skąd to cholerstwo się u mnie wzięło? Jestem dość ostrożny przy wchodzeniu na strony internetowe, nie pętam się po stronach z crackami/keygenami, a jeśli już muszę, to wchodzę na takie strony pod WinUAE i Ibrowse 2.4 (gwarancja, że nie wrąbie mi się coś nieciekawego, bo i tak nic pod tym nie zadziała), a keygeny odpalam pod wirtualną maszyną w rodzaju VMWare ściśle odizolowaną od netu i systemu hosta. Zastanawiam się, czy to nie jest czasem infekcja typu drive-by, czy coś w tym stylu...wiem, że najlepiej byłoby zainstalować SP3, ale nie mam do niego przekonania. Pościągałem chyba wszystkie możliwe aktualizacje bezpieczeństwa ze strony Microsoftu i część udało mi się zainstalować, zobaczymy...

W załączeniu nowe logi z OTL i GMER.

Dzięki za szybką reakcję i pomoc :)

gmer.txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza

Tak, KatesKiller poradził sobie, poświadcza to GMER w którym ustąpiły wszystkie modyfikacje. W logach nie widzę już nic podejrzanego, przy założeniu, że proxy USA w Seamonkey i pliki *.BAT w root dysku są Ci znane:

 

 

FF - prefs.js..network.proxy.ftp: "72.29.100.10"

FF - prefs.js..network.proxy.ftp_port: 8080

FF - prefs.js..network.proxy.gopher: "72.29.100.10"

FF - prefs.js..network.proxy.gopher_port: 8080

FF - prefs.js..network.proxy.http: "72.29.100.10"

FF - prefs.js..network.proxy.http_port: 8080

FF - prefs.js..network.proxy.share_proxy_settings: true

FF - prefs.js..network.proxy.ssl: "72.29.100.10"

FF - prefs.js..network.proxy.ssl_port: 8080

 

[2011-04-10 22:33:57 | 000,004,364 | ---- | C] () -- C:\FS98 Sounds 0-626.bat

[2011-04-04 13:32:55 | 000,001,742 | ---- | C] () -- C:\indeks FSFW95 - Flight Sim For Win95 0-250.bat

[2011-04-04 12:11:13 | 000,001,259 | ---- | C] () -- C:\indeks adventures 0-170.bat

[2011-04-03 23:58:36 | 000,005,261 | ---- | C] () -- C:\Aircrafts 0-760.bat

[2011-04-03 22:55:28 | 000,001,397 | ---- | C] () -- C:\indeks panels 0-190.bat

[2011-04-02 19:00:07 | 000,003,186 | ---- | C] () -- C:\indeks 0-450.bat

[2011-04-01 21:20:30 | 000,014,354 | ---- | C] () -- C:\bat9.bat

[2011-04-01 21:19:36 | 000,021,292 | ---- | C] () -- C:\bat8.bat

[2011-04-01 19:14:17 | 000,013,032 | ---- | C] () -- C:\bat7.bat

[2011-04-01 18:38:43 | 000,006,361 | ---- | C] () -- C:\bat6.bat

[2011-04-01 18:34:10 | 000,024,477 | ---- | C] () -- C:\bat5.bat

[2011-04-01 18:30:19 | 000,016,479 | ---- | C] () -- C:\bat4.bat

[2011-04-01 16:17:09 | 000,026,254 | ---- | C] () -- C:\bat3.bat

[2011-04-01 15:55:19 | 000,002,982 | ---- | C] () -- C:\indeks 0-420.bat

[2011-04-01 15:36:51 | 000,021,328 | ---- | C] () -- C:\bat2.bat

[2011-04-01 00:29:39 | 000,021,017 | ---- | C] () -- C:\bat.bat

 

 

Końcowe kroki zamykające czyszczenie:

 

1. Skasuj ten folder z dysku:

 

[2011-03-13 14:22:57 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Nemesis\Dane aplikacji\Toolbar4

2. Wyzeruj foldery Przywracani systemu: INSTRUKCJE.

 

3. W związku z typem infekcji przechwytującej dane, zmień wszędzie hasła logowań w serwisach.

 

 

Pytanie zasadnicze brzmi: skąd to cholerstwo się u mnie wzięło? Jestem dość ostrożny przy wchodzeniu na strony internetowe, nie pętam się po stronach z crackami/keygenami, a jeśli już muszę, to wchodzę na takie strony pod WinUAE i Ibrowse 2.4 (gwarancja, że nie wrąbie mi się coś nieciekawego, bo i tak nic pod tym nie zadziała), a keygeny odpalam pod wirtualną maszyną w rodzaju VMWare ściśle odizolowaną od netu i systemu hosta. Zastanawiam się, czy to nie jest czasem infekcja typu drive-by, czy coś w tym stylu...

 

Trudno powiedzieć, ale nasuwa się, że jednak otworzyłeś jakąś stronę / plik, które uruchomiły proces. System nie jest załatany.

 

 

wiem, że najlepiej byłoby zainstalować SP3, ale nie mam do niego przekonania. Pościągałem chyba wszystkie możliwe aktualizacje bezpieczeństwa ze strony Microsoftu i część udało mi się zainstalować, zobaczymy...

 

1. To wymaga "korekty":

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

SP3 to jest mus. Podaj mi co takiego Cię powstrzymuje przed aktualizacją do SP3. SP3 pochodzi z roku 2008 (sic!), a co po SP3 wydane to już tu czarnoziem. Ponadto, MS blokuje Windows XP poniżej progu SP3 do pobierania aktualizacji i nawet jeśli uzupełniasz to ręcznie (miotając się z pobieraniem comiesięcznych ISO), to szczerze wątpię w to, że masz komplet i system zabezpieczony. O ile się też nie mylę, łatki wydane po czasie, gdy to MS ustalił ban starych XP, mają chyba blokadę instalacyjną i nie przejdą na starszym systemie nie spełniającym warunku posiadania SP3.

I nie tylko SP3, również Internet Explorer musi być zaktualizowany do najwyższej możliwej wersji dla XP (czyli IE8). To, że korzystasz z przeglądarek niezależnych nie ma tu nic do rzeczy. Silnik IE jest wykorzystywany przez komponenty systemowe oraz aplikacje trzecie w sposób transparentny. Co więcej, jest związek między Internet Explorer a Mozilla i nie tak dawno o tym mówiłam: KLIK.

 

 

2. Podobnie z oprogramowaniem:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216014F0}" = Java™ 6 Update 14

"{26A24AE4-039D-4CA4-87B4-2F83216020F0}" = Java™ 6 Update 20

"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 23

"{3248F0A8-6813-11D6-A77B-00B0D0150100}" = J2SE Runtime Environment 5.0 Update 10

"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2

"{AC76BA86-7AD7-1031-7B44-A70900000002}" = Adobe Reader 7.0.9 - Deutsch

"{E1BBBAC5-2857-4155-82A6-54492CE88620}" = Opera 9.64

"Foxit Reader" = Foxit Reader

  • Strasznie stary Adobe Reader. To akurat wersja z lukami prowadzącymi do infekcji wklejkowych ze stron internetowych. Nie wiadomo w jakiej wersji jest tu Foxit (on także podlegał tej luce). Najnowsza wersja Adobe Reader do instalacji to Adobe Reader X (odptaszkuj montaż McAfee). Przy okazji: w aktualnych warunkach to Foxit już nie może być brany za "chudą alternatywę", próbuje ładować przy instalacji szajs i to większy niż oryginał (pasek narzędziowy do przeglądarek symulujący funkcjonalność zasadniczą).
  • Kolekcja przeterminowanych Java. Wszystko usuniesz za pomocą czyściciela JavaRa. Na koniec nałóż najnowszą Java (JRE).
  • I reszta przeglądarek do aktualizacji.

 

 

 

 

.

Odnośnik do komentarza

Co do tych proxy i batchów - proxy ustawiłem sam, batche też sobie sam stworzyłem, więc to jest ok. Z SP3 się zastanowię, a powód jego nieinstalacji był taki, że po zainstalowaniu SP3 nie mogłem sobie zainstalować niektórych programów, ponieważ Windows Installer w pewnym momencie niż tego ni z owego pokazywał okno składni i na tym sprawa się kończyła. Odnośnie aktualizacji przeglądarek - Opery używam obecnie praktycznie tylko do odbioru poczty, reszta WWW idzie przez SeaMonkey. Dlaczego? Bo geniusze z OperaTeam począwszy od wersji 10.00 zablokowali użytkownikowi możliwość zmiany koloru czcionek na inny niż czarny, co bardzo skutecznie utrudniło mi życie na Operze 10.x. Ja mam bardzo mhroczny schemat kolorów systemowych i od momentu pojawienia się Opery 10 lista maili stała się kompletnie nieczytelna. Pytałem łosi z OperaTeam, co ich skłoniło do decydowania za użytkownika, jaki schemat kolorów w Operze jest najlepszy, ale z sobie wiadomych powodów nie byli mi łaskawi udzielić odpowiedzi. Więc zostałem przy 9.64.

Natomiast strasznie zaciekawiło mnie to co napisałaś o transparentnym korzystaniu z silnika IE przez programy trzecie. Oczywiste jest dla mnie, że takie GG czy AQQ korzysta z tego silnika, ale jak np. WinUAE może wykorzystywać IE, skoro to całkowicie inny system operacyjny, a przeglądarka pod WinUAE ma swój własny silnik, zupełnie niezgodny z czymkolwiek znanym w świecie PC i żaden wirus nie da rady się tam uruchomić. To mnie zastanawia najbardziej, bo właśnie dlatego wchodzę na podejrzane strony pod emulatorem Amigi, żeby do minimum zredukować możliwość infekcji. Czyżby nawet to nie chroniło?

Odnośnik do komentarza
Z SP3 się zastanowię, a powód jego nieinstalacji był taki, że po zainstalowaniu SP3 nie mogłem sobie zainstalować niektórych programów, ponieważ Windows Installer w pewnym momencie niż tego ni z owego pokazywał okno składni i na tym sprawa się kończyła.

 

Po zainstalowaniu SP3 i ten komponent do aktualizacji: Windows Installer 4.5.

 

 

Oczywiste jest dla mnie, że takie GG czy AQQ korzysta z tego silnika

 

Okno services.msc też. I parę innych komponentów w systemie też.

 

 

ale jak np. WinUAE może wykorzystywać IE, skoro to całkowicie inny system operacyjny, a przeglądarka pod WinUAE ma swój własny silnik, zupełnie niezgodny z czymkolwiek znanym w świecie PC i żaden wirus nie da rady się tam uruchomić.

 

Ja tu mówię o czym innym: siedzisz na Windows przecież, zawsze będzie jakaś operacja która może korzystać z tego silnika, dla jasności = operacja w ogóle nie związana z otwieraniem strony internetowej per se. Wpływ IE mógłbyś wykluczyć tylko wtedy, gdybyś wcale nie używał Windowsa. Ponadto, nie do końca się rozumiemy. Ty chyba odczytujesz moje słowa jako pewnik, że infekcja prześlizgnęła się tą drogą. A ja Ci punktuję tylko fakt, że masz system sito. Prawdę mówiąc, nie mogę na widzianym tu systemie niczego gwarantować / obstawiać, bo kij wie gdzie Ty masz luki, a wykazanie stopnia zabezpieczenia od tej strony jest niemożliwe. Zważ i na to, że nawet jeśli załadujesz wszystkie łaty dla XP, nie przeskoczysz "drobnostki", że system jest po prostu przestarzały, poza zainteresowaniem MS i nie będzie nigdy dorównywał poziomem nowszej generacji. To, że MS odciął XP poniżej progu SP3 chcąc przymusić do aktualizowania nie jest bez znaczenia i w tym przypadku całkowicie się zgadzam, że należało to zrobić, gdyż zbyt wiele systemów już leczyłam które łączył właśnie brak aktualizacji.

 

 

OSH nie wiem w jaki sposób to złapałeś. Może inaczej to ujmę: pomimo tak wielkiej ostrożności nawigacyjnej keylogger zdołał się zainstalować bez żadnych przeszkód w systemie (i z tego co widzę soft zabezpieczający ani mrugnął), czyż nie należy założyć, że coś jest fatalnie zabezpieczone? Pierwsze co się rzuca w oczy to poziom "załatania" systemu.

 

 

To mnie zastanawia najbardziej, bo właśnie dlatego wchodzę na podejrzane strony pod emulatorem Amigi, żeby do minimum zredukować możliwość infekcji. Czyżby nawet to nie chroniło?

 

Mówisz o "podejrzanych stronach", ale przecież to nie tylko z takich się łapie infekcje. Prawidłowe strony też mogą być tymczasowo zainfekowane (doklejone iframe / skrypty etc.). Nie mówię, że tak było, ale mogło tak być: odwiedziłeś link, który był Ci dobrze znany i nie nasuwał żadnych skojarzeń z nieprawidłowościami, w związku z tym nie bawiłeś się w emulatory.

 

 

a keygeny odpalam pod wirtualną maszyną w rodzaju VMWare ściśle odizolowaną od netu i systemu hosta

 

Keygeny tylko dla sportu sprawdzasz czy może to służy ich sprawdzeniu przed realnym wykorzystaniem? W jaki sposób oceniasz po uruchomieniu keygena jego skutki działania oraz czy po ocenie jakoby był on czysty migrujesz go na rzeczywisty system? Jeśli tak jest, otwiera to pewne możliwości.

 

 

proxy ustawiłem sam

 

A to proxy to jest pewne?

 

 

 

.

Odnośnik do komentarza

Picasso, dzięki za wyjaśnienia, przekonałaś mnie do instalacji SP3. Wszystkie Twoje uwagi dobrze sobie zapamiętam, a co do odpalania keygenów - NIGDY nie odpalam ich pod rzeczywistym systemem, po prostu, jeśli mi pod VM-ka wygeneruje już odpowiedni numer, to go zwyczajnie spisuję i wprowadzam do danego programu. Zdaje się, że już wiem, skąd się zainstalował ten cholerny keylogger i po zabezpieczeniu systemu ponownie wejdę na tę stronę, bo jej właściciel chyba nie ma nawet pojęcia, że tam on jest.

 

Może inaczej to ujmę: pomimo tak wielkiej ostrożności nawigacyjnej keylogger zdołał się zainstalować bez żadnych przeszkód w systemie (i z tego co widzę soft zabezpieczający ani mrugnął), czyż nie należy założyć, że coś jest fatalnie zabezpieczone?

 

Mrugnąć mrugnął, przynajmniej dał mi znać, że się ten keylogger zainstalował.Zastanawiam się, jaki program antywirusowy wybrać, żeby mnie chronił w miarę skutecznie. Wiadomo, że nie ma ideału, ale...

A powiedz mi, co myślisz o puszczeniu ruchu sieciowego przez Linuksa pod wirtualną maszyną? Czy wg Ciebie zwiększyłoby to bezpieczeństwo?

Natomiast co do tego, ze XP jest stary - no jest, ale ani siódemki, ani Visty nie zainstaluję, bo mój komputer tego nie uciągnie, a ponadto, nie mam kasy na kupowanie nowego systemu operacyjnego. XP ma wsparcie do 2014 r,choć pewnie przed tą datą i tak już będę miał inny system...

Odnośnik do komentarza

OSH co to za "wykropkowane" posty były? Jeśli to tzw. "bump", to nie próbuj tego w przyszłości. Traktuję to jako skończone śmieci (tylko mi bazę forum nabijasz rekordami) i nie pomaga to wcale w przyśpieszeniu odpowiedzi. Jeśli jestem nieobecna, oczywiste że odpowiedzi nie będzie.

 

 

Zastanawiam się, jaki program antywirusowy wybrać, żeby mnie chronił w miarę skutecznie. Wiadomo, że nie ma ideału, ale...

 

Jeśli to weszło przez skrypt uruchamiany z poziomu www, to antywirus powinien mieć osłonę web, by zapobiec nawet otworzeniu strony. Avira w wersji darmowej tego akurat nie ma (komercyjny wariant jest wyposażony w WebGuard). Moduł skanowania i blokowania stron jest w darmowych: AVG 2011 (LinkScanner), Panda Cloud (filtrowanie URL i niebezpiecznych witryn), Avast (WebShield). Skaner www AVG można także doinstalować jako produkt indywidualny a nie integrację z antywirusem: LinkScanner.

 

 

A powiedz mi, co myślisz o puszczeniu ruchu sieciowego przez Linuksa pod wirtualną maszyną? Czy wg Ciebie zwiększyłoby to bezpieczeństwo?

 

To ma służyć do sprawdzenia tej wytypowanej przez Ciebie strony? Jeśli tak = OK. Jeśli nie i ma to mieć charakter permanentny = straszne męczenie się, to ja już prędzej widzę zmianę Windows na Linux (ale wiadomo co będzie z oprogramowaniem chodzącym tylko pod Windows) ....

 

 

 

.

Odnośnik do komentarza

Jeśli chodzi o wykropkowane posty to nie były żadne bumpy, tylko zwyczajnie pomyłki w edycji, gdybym mógł, to sam bym je usunął. Dla mnie też jest oczywiste, że jak Cię nie ma, to odpowiedzi nie będzie i nie stosuję takich zagrywek, żeby zwrócić na siebie uwagę. Jeśli natomiast chodzi o "męczenie się pod wirtualką i Linuksem", to na serio rozważam taką możliwość i nie wiem, czy byłoby to naprawdę męczenie się, bo rok z okładem pracuję już na wirtualce w niektórych sytuacjach i nieźle mi to idzie, a na czystego Linuksa nie przejdę - z powodów, które sama wskazałaś. Mnie chodzi tylko o to, czy zwiększyłoby to bezpieczeństwo przy wchodzeniu na strony WWW. Dzięki za info na temat tych zabezpieczeń, SP3 już zainstalowany, IE8 też, za niebawem zainstaluję resztę uaktualnień do SP3 zobaczymy, czy to coś da... szczerze mówiąc, to pierwszy od bardzo długiego czasu problem z jakimkolwiek wirusem (co wcale nie znaczy, że ich nie miałem, może Avira ich nie wykrywała). Niedługo zresztą kupię sobie pakiet antywirusowy, bo darmowe AV-ki to jednak nie jest najlepsze wyjście dla mnie...

Odnośnik do komentarza
Jeśli chodzi o wykropkowane posty to nie były żadne bumpy, tylko zwyczajnie pomyłki w edycji

 

Przepraszam, nie przyszło mi to do głowy, zwłaszcza po dwóch "kropkowcach".

 

 

Jeśli natomiast chodzi o "męczenie się pod wirtualką i Linuksem", to na serio rozważam taką możliwość i nie wiem, czy byłoby to naprawdę męczenie się, bo rok z okładem pracuję już na wirtualce w niektórych sytuacjach i nieźle mi to idzie, a na czystego Linuksa nie przejdę

 

Widzę, że jesteś zdecydowany. Skoro to dla Ciebie żadna niewygoda, to rób ten "tunel".

 

 

 

.

Edytowane przez picasso
12.05.2011 - Upłynął miesiąc, brak dodatkowych komentarzy. Temat jest ukończony i go zamykam. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...