Infekcja Cryptnet32.dll + wykradzione hasła do FTP

[Bejo]

Witam

 

Już drugi raz w przeciągu miesiąca doszło do infekcji mojego serwera i forum. Sprawa wyszła na jaw, gdy serwer (Joomla) i forum (SMF) zawierały dopisany na samym końcu plików (przeważnie "index\.(php|html)") następujący tekst (z błędem składni HTML):

<img heigth="1" width="1" border="0" src="http://ADRES_STRONY_NIEZNANEJ=LOSOWY_NR">

Z serwerami FTP łączę się przez FlashFXP (licencja).

 

Po dokładnym przeskanowaniu, zostały wykryte następujące zagrożenia.

 

Kaspersky Internet Security 2011

Pełne skanowanie: zakończono <1 min temu (zdarzeń: 4, obiektów: 403868, czas: 01:21:20)

07-05-2011 14:21:07 Zagrożenie: HEUR:Trojan.Win32.Generic C:\Windows\System32\cryptnet32.dll

07-05-2011 14:21:07 Nieprzetworzony: HEUR:Trojan.Win32.Generic C:\Windows\System32\cryptnet32.dll Odroczony

07-05-2011 14:22:02 Zagrożenie: Trojan-Downloader.Win32.Small.bylb C:\Windows\System32\null0.4143745446402497.exe

07-05-2011 14:22:02 Nieprzetworzony: Trojan-Downloader.Win32.Small.bylb C:\Windows\System32\null0.4143745446402497.exe Odroczony

 

SUPERAntiSpyware Free

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 05/07/2011 at 03:21 PM

 

Application Version : 4.52.1000

 

Core Rules Database Version : 7009

Trace Rules Database Version: 4821

 

Scan type : Complete Scan

Total Scan Time : 00:45:43

 

Memory items scanned : 673

Memory threats detected : 1

Registry items scanned : 9453

Registry threats detected : 0

File items scanned : 29113

File threats detected : 3

 

Trojan.Unclassified-Packed/Suspicious

C:\PROGRAM FILES\MOOSEOFT ENCRYPTER\CONTEXT.DLL

C:\PROGRAM FILES\MOOSEOFT ENCRYPTER\CONTEXT.DLL

 

Adware.Vundo/Variant-X32[Header]

C:\WINDOWS\SYSTEM32\CRYPTNET32.DLL

 

Trojan.Agent/Gen-Small

C:\WINDOWS\SYSTEM32\NULL0.4143745446402497.EXE

 

System:

Windows 7 Professional 32bit PL (licencja) + aktualizacje

 

 

----------------------------------------------------------------------------

Powyższe raporty utworzone są po przeprowadzonej dezynfekcji przez Kaspersky

 

OTL.Txt

http://wklej.org/id/525368/

 

Extras.Txt

http://wklej.org/id/525369/

 

Gmer.Txt

http://wklej.org/id/525443/

 

 

Results of screen317's Security Check version 0.99.10

Windows 7 (UAC is disabled!)

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Kaspersky Anti-Virus 2011

Kaspersky Internet Security 2011

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

SUPERAntiSpyware

TuneUp Utilities 2007

CCleaner

Java 6 Update 17

Out of date Java installed!

Adobe Flash Player 10.2.159.1

````````````````````````````````

Process Check:

objlist.exe by Laurent

Kaspersky Lab Kaspersky Anti-Virus 2011 avp.exe

``````````End of Log````````````

[Landuss]

W logach nie widać śladu aktywnej infekcji. Wykonaj poniższe zalecenia.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Start > w polu szukania wpisz uruchom > cmd i wklep polecenia:

 

SC DELETE dbdcsino

SC DELETE gupdatem

SC DELETE gupdate

 

3. Wykonaj obowiązkową instalację SP1 dla Windows, zaktualizuj Firefox i Java: KLIK.

 

4. Wyzeruj stan przywracania systemu: KLIK

 

5. Przestrzegam przed bardzo małą ilością wolnego miejsca na partycji systemowej:

 

Drive C: | 19,97 Gb Total Space | 1,31 Gb Free Space | 6,56% Space Free | Partition Type: NTFS

To może wpływać niezdrowo na system. Opróżnienie przywracania w punkcie 4 powinno odzyskać nieco miejsca ale wyczyść jeszcze lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. Do diagnozy miejsca na dysku polecam narzędzie SpaceSniffer.

 

 

 

[Bejo]

Dziękuję za sprawdzenie

 

#1 wykonane + restart

#2 wykonane z sukcesem

#3 jedynie Jave zaktualizuje (FF nie mogę, bo dodatek nie współpracuje z 4.x, a W7 SP1 nie chce mi się zainstalować)

#4 mam wyłączone przywracanie systemu | i nie mam tej opcji w panelu sterowania

#5 mała ilość miejsca jest spowodowana kopiami po aktualizacjach, które nie mam pojęcia gdzie są składowane w W7 (w XP nie było problemu z ich usunięciem)

[Landuss]

#5 mała ilość miejsca jest spowodowana kopiami po aktualizacjach, które nie mam pojęcia gdzie są składowane w W7 (w XP nie było problemu z ich usunięciem)

 

O ile dobrze rozumiem to wszelkie tego typu rzeczy są umieszczane w folderze C:\Windows\WinSxS, ale nie opróżniaj czasami tego folderu gdyż tam są elementy potrzebne do prawidłowego działania systemu. Są tam też właśnie kopie przywracania systemu dlatego o nim wspomniałem. Folder ten może mieć naprawdę olbrzymie rozmiary. Na Windows 7 po prostu warto zostawić sobie więcej miejsca na partycję systemową najlepiej około 40GB.

 

a W7 SP1 nie chce mi się zainstalować

 

A jaki błąd występuje? Może to być też powiązane właśnie z małą ilością miejsca...

 

 

[Bejo]

Niestety nie pamiętam. Po zainstalowaniu SP1 system chce restartu. Po restarcie następuje konfiguracja, po czym system przystępuje do wycofywania zmian i tak w kółko. Znowu chce instalować SP1 itd... Więc mu wyłączyłem instalację tego patcha.

 

ps. Na prawdę nie ma możliwości na usunięcie kopii aktualizacji ?

Nie mam możliwości powiększyć partycji. Sądziłem na początku, że 20GB wystarczy, ale robi się tego miejsca coraz mniej. Początkowo dane na partycji C zajmowały ~12GB. Teraz sam katalog Windows zajmuje 13,4GB (+80k plików).

[picasso]

#5 mała ilość miejsca jest spowodowana kopiami po aktualizacjach, które nie mam pojęcia gdzie są składowane w W7 (w XP nie było problemu z ich usunięciem)

 

ps. Na prawdę nie ma możliwości na usunięcie kopii aktualizacji ?

 

W Windows Vista i Windows 7 jest całkowicie odmienna technika deinstalacyjna, nie jest tworzony żaden pojedynczy folder, a dane deinstalacyjne mają charakter przyrostowy i nie ma możliwości usunięcia "kopii" jak to było w Windows XP. Aczkolwiek po instalacji SP1 jest możliwe wywołanie pewnych procedur ograniczających spożycie miejsca na dysku (ze skutkiem w niemożności deinstalacji SP1): KLIK. Tylko, że tu nawet do tego nie doszedłeś:

 

 

Niestety nie pamiętam. Po zainstalowaniu SP1 system chce restartu. Po restarcie następuje konfiguracja, po czym system przystępuje do wycofywania zmian i tak w kółko. Znowu chce instalować SP1 itd... Więc mu wyłączyłem instalację tego patcha.

 

Na początek to musi zostać rozwiązany problem dostępnego miejsca na dysku, bo to jest zastraszający próg. Nie tylko problemy z kolejnymi instalacjami na widoku, ale i możliwość ślimaczenia systemu.

 

 

Nie mam możliwości powiększyć partycji. Sądziłem na początku, że 20GB wystarczy, ale robi się tego miejsca coraz mniej.

 

Nie ma możliwości, gdyż ...? Czy owa partycja jest równa jednemu dyskowi fizycznemu:

 

Drive C: | 19,97 Gb Total Space | 1,31 Gb Free Space | 6,56% Space Free | Partition Type: NTFS
Drive D: | 106,01 Gb Total Space | 96,67 Gb Free Space | 91,19% Space Free | Partition Type: NTFS
Drive E: | 106,81 Gb Total Space | 68,92 Gb Free Space | 64,53% Space Free | Partition Type: NTFS

 

 

 

.

[Bejo]

Wszystkie partycje należą do jednego dysku.

Pobieram i zrobię to tą aplikacją: EASEUS Partition Master 8.0.1 Home Edition

 

Dziękuję

[picasso]

Wiem, że jest możliwość rozszerzenia partycji, ale nie znam aplikacji, która to zrobi bez uszkodzenia danych (format) i jest przynajmniej darmowa.

 

Ależ są ...

1. Ty masz taką możliwość w samym systemie! W przystawce diskmgmt.msc z prawokliku na partycje są opcje "Zmniejsz wolumin" + "Rozszerz wolumin".

2. Darmowe aplikacje z taką funkcją: EASEUS Partition Master Home Edition, Partition Wizard, Paragon Partition Manager Free Edition, GParted LiveCD

 

Przy czym: operacja taka z poziomu systemu może być mniej skuteczna, ze względu na zablokowane pliki i jeśli taki problem napotkasz (suwak, który zatrzymuje się na określonej liczbie), operację przeprowadź z poziomu boot płyty.

 

 

EDIT: A widzisz. Zedytowałeś post.

 

 

.

[Bejo]

Programem EASEUS PM dokonałem pomyślnego rozszerzenia partycji do 35GB. Myślę, że to wystarczy (te 15GB dodatkowe)

[picasso]

Uwolniłeś miejsce na dysku, zajmij się tym:

 

 

Niestety nie pamiętam. Po zainstalowaniu SP1 system chce restartu. Po restarcie następuje konfiguracja, po czym system przystępuje do wycofywania zmian i tak w kółko. Znowu chce instalować SP1 itd... Więc mu wyłączyłem instalację tego patcha.

 

Przywróć do formy ustawienia Windows Update, pobierz SP1 z linka, który podał Landuss (instalacja tą metodą ma przewagę nad metodą z Windows Update = ogranicza wystąpienia błędów pobierania) i próbuj zainstalować .... Jeśli wystąpi jakikolwiek błąd, dokładnie go przepisz.

 

 

 

.

[Bejo]

Nadal nie mogę zainstalować aktualizacji. System przy starcie zapisywał jakieś ustawienia, ale cały czas (przez prawie 10min) było 0%, po czym system przystąpił do wycofywania zmian.

 

Pojawia się błąd (info z dziennika zdarzeń)

Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x800705b4: Aktualizacja systemu Windows 7 (KB2529073).

 

Miejsce na partycji systemowej: >16 GB.

[picasso]

Błąd 0x800705b4 = przekroczenie czasu. Na początek wykonaj podstawowe kroki, które są zalecane dla instalacji pakietów SP, czyli usunięcie oprogramowania które może mieć negatywny wpływ:

 

1. Odinstaluj (na czas instalacji) całkowicie Kaspersky Internet Security + SUPERAntiSpyware. Przywrócisz je dopiero po ukończeniu zadań aktualizacyjnych.

2. Ponów instalację SP1. Zakładam, że instalujesz z dysku (pakiet pobrany z linka podanego przez Landussa) a nie z Windows Update (autościąganie).

Edytowane 12 Czerwca 2011 przez picasso
12.06.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso