broda99 Opublikowano 25 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2011 Witam, kilka dni temu pojawiło mi się zadanie, którego nie tworzyłem. Odkryłem w zasadzie przypadkiem, bowiem podczas startu pojawił się błąd ładowania do pamięci rundll32 > po nitce doszedłem że to plik cyratgym.job, który był niewidzialny dla systemu (oprócz SilentRunners i SystemLook). Ale nawet te narzędzia nie potrafiły otworzyć pliku. Linux'em przeniosłem i 'dobrałem' się do plików (cofnięte były wszystkie uprawnienia dla .job i .dll który miał być uruchamiany). cyratgym.job > C:\Windows\System32\rundll.32 "C:\Windows\System32\amstream7.dll",qbugrth O ile plik amstream.dll to bodajże jakiś komponent DirectX, o tyle skanery wskazują na amstream7.dll jako podejrzany. W tej chwili plik .job jest przeniesiony, ale nie wiem co jeszcze mogło się przyplątać (amstream7.dll na razie mieszka w system32 na potrzeby ew. diagnostyki) więc proszę o sprawdzenie i odpowiedź - na ile możliwa - co to jest i skąd to mogło się wziąć. --- Przypomniałem sobie, że c.a w tym samy czasie uaktualniałem system. OTL: http://wklej.org/id/518811/ Extras: http://wklej.org/id/518812/ RSIT: http://wklej.org/id/518818/ Gmer: http://wklej.org/id/518913/ SilentRunners: http://wklej.org/id/518824/ http://virusscan.jotti.org/en/scanresult/50bf74a8b5b05b9ce9cc6640924e6d4418f7ccdc http://www.virustotal.com/file-scan/report.html?id=8b525916de9cc3e66ec4fd4e189ca9e3438cf997cf11c401f5c0fe3ba47ed49b-1303751773 Pliki: [2011-04-25 18:00:02 | 000,000,188 | ---- | M] () -- C:\windows\tasks\rejestr.job [2011-04-25 17:01:25 | 000,004,092 | ---- | M] () -- C:\powerorg.reg [2011-04-25 14:58:14 | 000,000,688 | ---- | M] () -- C:\Documents and Settings\BB\Moje dokumenty\fhn hjk tnhjkth.reg [2011-04-24 17:24:24 | 000,000,197 | ---- | M] () -- C:\comp_reg.bat [2011-04-24 17:24:00 | 000,022,016 | ---- | M] () -- C:\comp_reg.exe [2011-04-24 17:18:37 | 000,016,384 | ---- | M] (IZWIBW) -- C:\koniec.exe [2011-04-24 16:42:33 | 000,000,093 | ---- | M] () -- C:\alert.bat [2011-04-11 19:34:26 | 000,000,479 | ---- | M] () -- C:\windows\start.reg są prawidłowe (moje - dot. zresztą wątków w dziale Windows XP). Odnośnik do komentarza
picasso Opublikowano 26 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2011 To są pliki infekcji. Dla porównania podobne losowe układy w innych tematach: KLIK / KLIK / KLIK / KLIK / KLIK. Przypuszczalne źródło nabycia: zwizytowana nieodpowiednia strona www, która uruchomiła skrypt. 1. Jak sądzę, nie będziesz miał żadnych trudności z usunięciem tego. [2011-04-22 12:17:30 | 000,094,720 | RHS- | M] () -- C:\windows\System32\amstream7.dll[2011-04-23 01:42:18 | 000,000,304 | -HS- | M] () -- C:\cyratgym.job Także folder śmiecia sponsoringowego: [2011-04-01 05:18:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\BB\Dane aplikacji\PriceGong 2. Dodatkowo, usuń wszystkie strumienie KAVICHS podpięte pod pliki (pozostałość po instalacji Kasperskiego) oraz strumienie typu {numerki}. Narzędzia do usuwania strumieni: KLIK. @Alternate Data Stream - 68 bytes -> C:\windows\System32\msvcp61.dll:KAVICHS@Alternate Data Stream - 68 bytes -> C:\windows\System32\msgjas.dll:KAVICHS@Alternate Data Stream - 68 bytes -> C:\windows\System32\emptyregdb.dat:KAVICHS@Alternate Data Stream - 68 bytes -> C:\Documents and Settings\BB\Menu Start\Programy\desktop.ini:KAVICHS@Alternate Data Stream - 68 bytes -> C:\Documents and Settings\BB\Menu Start\Programy\Autostart\desktop.ini:KAVICHS@Alternate Data Stream - 68 bytes -> C:\Documents and Settings\BB\Dane aplikacji\desktop.ini:KAVICHS@Alternate Data Stream - 68 bytes -> C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\desktop.ini:KAVICHS@Alternate Data Stream - 68 bytes -> C:\Documents and Settings\All Users\Dokumenty\desktop.ini:KAVICHS@Alternate Data Stream - 36 bytes -> C:\windows\WINHELP.EX@:KAVICHS@Alternate Data Stream - 36 bytes -> C:\windows\System32\wpa.dbl:KAVICHS@Alternate Data Stream - 36 bytes -> C:\windows\System32\mshearts.exe:KAVICHS@Alternate Data Stream - 36 bytes -> C:\windows\System32\msg723.acm:KAVICHS@Alternate Data Stream - 36 bytes -> C:\windows\System32\ISUSPM.cpl:KAVICHS@Alternate Data Stream - 36 bytes -> C:\windows\System32\FNTCACHE.DAT:KAVICHS@Alternate Data Stream - 36 bytes -> C:\windows\System32\drivers\audstub.sys:KAVICHS@Alternate Data Stream - 36 bytes -> C:\windows\System32\ati64hl2.stb:KAVICHS@Alternate Data Stream - 36 bytes -> C:\windows\System\TIMER.DRV:KAVICHS@Alternate Data Stream - 36 bytes -> C:\windows\Puch.bmp:KAVICHS@Alternate Data Stream - 36 bytes -> C:\windows\ODBCINST.INI:KAVICHS@Alternate Data Stream - 36 bytes -> C:\windows\Kawa.bmp:KAVICHS@Alternate Data Stream - 36 bytes -> C:\windows\bootstat.dat:KAVICHS@Alternate Data Stream - 36 bytes -> C:\windows\Bąbelki.bmp:KAVICHS@Alternate Data Stream - 36 bytes -> C:\Documents and Settings\BB\ntuser.ini:KAVICHS@Alternate Data Stream - 36 bytes -> C:\Documents and Settings\All Users\Menu Start\Programy\desktop.ini:KAVICHS@Alternate Data Stream - 36 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\desktop.ini:KAVICHS @Alternate Data Stream - 12 bytes -> C:\windows\system32:{DA6227CB-326B-4B4D-9A81-04B61F1538DD}@Alternate Data Stream - 12 bytes -> C:\windows\system32:{4B9A1497-0817-47C4-9612-D5A1C53ACF57}@Alternate Data Stream - 12 bytes -> C:\Documents and Settings\BB\Moje dokumenty:{934CE399-357A-44B6-A788-06D723734D3B}@Alternate Data Stream - 12 bytes -> C:\Documents and Settings\BB\Moje dokumenty:{726B6F7C-E889-4EFE-8CA3-AEF4943DBD38} 3. Z listy software: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 24"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3"{3248F0A8-6813-11D6-A77B-00B0D0160040}" = Java 6 Update 4"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish"Akamai" = Akamai NetSession Interface"Freecorder Toolbar" = Freecorder Toolbar Wszystkie wystąpienia Java i Adobe do deinstalacji i zamiany przez najnowsze: INSTRUKCJE. Pozostałe obiekty do usunięcia, ten Akamai jest zbędny, a ostatnio wystąpił w takim kontekście: KLIK. 4. Błędy z Dziennika zdarzeń: Error - 2011-04-24 11:11:47 | Computer Name = PCIZWIBW2 | Source = DCOM | ID = 10005Description = Model DCOM odebrał błąd "%1058" podczas próby uruchomienia usługi wuauserv z argumentami "" w celu uruchomienia serwera: {E60687F7-01A1-40AA-86AC-DB1CBF673334} Error - 2011-04-24 11:18:43 | Computer Name = PCIZWIBW2 | Source = Service Control Manager | ID = 7024Description = Usługa Distributed Transaction Coordinator zakończyła działanie; wystąpił specyficzny dla niej błąd 3221229584 (0xC0001010). Error - 2011-04-24 15:59:58 | Computer Name = PCIZWIBW2 | Source = DCOM | ID = 10005Description = Model DCOM odebrał błąd "%1058" podczas próby uruchomienia usługi wuauserv z argumentami "" w celu uruchomienia serwera: {E60687F7-01A1-40AA-86AC-DB1CBF673334} Usługa Automatycznych aktualizacji została wyłączona? są prawidłowe (moje - dot. zresztą wątków w dziale Windows XP). Nie uwzględniłeś tu tego pliku "4 litery"1.exe . Odnośnik do komentarza
broda99 Opublikowano 26 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2011 1. Tak, oczywiście - problemem było 'wykopanie' tych plików. 2. A jednak OTL nie potrafi wszystkiego - te 2: @Alternate Data Stream - 12 bytes -> C:\Documents and Settings\BB\Moje dokumenty:{934CE399-357A-44B6-A788-06D723734D3B}@Alternate Data Stream - 12 bytes -> C:\Documents and Settings\BB\Moje dokumenty:{726B6F7C-E889-4EFE-8CA3-AEF4943DBD38} usunął Alternate Stream View. Nowy strumień zaraz usunę. 3. Java - OK, ale Adobe celowo mam 9 (10 jest jak dla mnie 'przekombinowany'). Czy jest jakiś dobry powód żeby zmienić? Akamai i toolbar - efekt działalności progenitury - już się nie pobawią... 4. Tak - Aktual. aut. mam celowo wyłączone (ale system regularnie uaktualniany). PS. Własna twórczość - uwzględniłem najnowsze pliki. Jest jeszcze (tak na szybko): [2010-11-07 20:22:09 | 000,016,384 | ---- | C] (IZWIBW) -- C:\Program Files\path.exe [2011-04-13 19:22:45 | 000,000,187 | ---- | M] () -- C:\Documents and Settings\BB\Pulpit\Szukaj w Windows.vbs [2011-04-13 01:24:00 | 000,000,213 | ---- | M] () -- C:\Documents and Settings\BB\Pulpit\Otwórz Windows.vbs - urodziło się w wyniku dyskusji o możliwości dodania własnej lokalizacji do systemowego "Szukaj". Pewnie coś by się jeszcze znalazło - przecież się domyślisz. A dup@1.exe raczej trudno wziąć za szkodnika... Po restart: http://wklej.org/id/519382/ OTL: http://wklej.org/id/519385/ Extras: http://wklej.org/id/519387/ RSIT: http://wklej.org/id/519388/ Odnośnik do komentarza
picasso Opublikowano 27 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2011 Zacznijmy od tego, że żadnego skryptu OTL tu nie zadawałam (obliczając, że hasło "Linux" oznacza dostateczną wiedzę, by usunąć to bez skryptu, Twoja dociekliwość sugerowała zresztą brak przeszkód), a do strumieni dałam inne narzędzia niż OTL. Komentarze do skryptu: 1. Posługujesz się błędnymi komendami: All processes killed========== PROCESSES ==========No active process named explorer.exe was found! W skrypcie załączyłeś zabijanie powłoki, a jednocześnie komendę, która zabija zbiorczo wszystkie procesy i całkowicie anuluje zabijanie powłoki, której już nie ma. Stąd powyższy błąd. 2. Tego też nie rozumiem: C:\Autorun.inf folder moved successfully.Folder move failed. D:\Autorun.inf scheduled to be moved on reboot. Przecież to były foldery: O32 - AutoRun File - [2010-12-26 15:13:19 | 000,000,000 | RHSD | M] - C:\Autorun.inf -- [ NTFS ]O32 - AutoRun File - [2010-12-26 15:13:21 | 000,000,000 | RHSD | M] - D:\Autorun.inf -- [ NTFS ] Foldery, czyli zabezpieczenie wprowadzone przez program typu Flash Disinfector czy USBFix. Z C został skasowany podejrzanie łatwo (widocznie tam puściło zabezpieczenie lub folder pochodzi z innych manipulacji niż wymienione narzędzia), z D już nie (widocznie blokuje go nadal wada nazwy). Jeśli koniecznie chcesz je usuwać, to robi się to przez linię komend z wykorzystaniem ścieżek UNC: KLIK. Files\Folders moved on Reboot...Folder move failed. D:\Autorun.inf scheduled to be moved on reboot. W rejestrze pozostało zaplanowane usuwanie tego. Start > Uruchom > regedit i w poniższym kluczu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager Wytnij wartość PendingFileRenameOperations. 3. Skąd to: $RECYCLE.BIN not found in C:\$RECYCLE.BIN not found in D:\ Masz system Windows XP a nie Vista czy Windows 7. To są katalogi Koszy na nowszych systemach. 3. Java - OK, ale Adobe celowo mam 9 (10 jest jak dla mnie 'przekombinowany'). Czy jest jakiś dobry powód żeby zmienić? Powód podstawowy: zabezpieczenia i wprowadzony w wersji X sandbox izolujący system od potencjalnie szkodliwych PDF. A dup@1.exe raczej trudno wziąć za szkodnika... Podobnie jak zakreślone przez Ciebie własne produkcje. . Odnośnik do komentarza
broda99 Opublikowano 27 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2011 Dla ułatwienia wrzuciłem do 'uniwersalnego' (zirytujesz się - wiem - nie ma takich) skryptu to co chciałem usunąć. Niepotrzebne komendy były tylko właśnie 'niepotrzebne' - nie wykonały żadnego działania bo nie miały co wykonać. Natomiast niepokoi mnie to, że folder zabezpieczający dał się usunąć - muszę się temu przyjrzeć. Dziękuję za pomoc. Pozdr. Odnośnik do komentarza
picasso Opublikowano 27 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2011 Niepotrzebne komendy były tylko właśnie 'niepotrzebne' - nie wykonały żadnego działania bo nie miały co wykonać. Planowanie usuwania autorun.inf jednak wykonało dwie modyfikacje (usunięcie folderu + zaplanowanie usuwania drugiego). Natomiast niepokoi mnie to, że folder zabezpieczający dał się usunąć - muszę się temu przyjrzeć. Tak prawdę mówiąc to ten typ zabezpieczenia przez generowanie folderów zawierających wadliwy nazewniczo obiekt jest niewdzięczny. Nie dość, że antywirusy mogą to wykrywać (nieprecyzyjna detekcja), to jeszcze ten obiekt można z ręki przemianować (wadliwy obiekt w folderze nie jest żadną barierą), a po zmianie nazwy siada całe zabezpieczenie. Najskuteczniejszą metodą jest wykonanie edycji rejestru w kluczu IniFileMapping, czyniącej autorun.inf plikiem nie czytanym wcale przez system (KLIK), z tym że jest oczywistym jakie będą konsekwencje. . Odnośnik do komentarza
broda99 Opublikowano 27 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2011 Picasso - nie sposób odmówić ci racji. Usunięcie plików $RECYCLE.BIN - nie dotyczy, Autorun.inf - miało się rozbić o zabezpieczenie, natomiast zaplanowanie usuwania po restarcie było faktycznie ujemnym skutkiem ubocznym. Tyle, że nie zapisało się takie w rejestrze. Czy czasem nie dlatego, że istnieje wartość w rejestrze o której piszesz (od dawna, celowo, "konsekwencje" takie że to ja decyduję co otwieram i komputer nie ma prawa głosu). PS. Rzuciłabyś okiem na temat Opcje zasilania w Windows XP? Odnośnik do komentarza
Rekomendowane odpowiedzi