Skocz do zawartości

Trojan Win32.Digle.xgi - problem z rejestrem


Rekomendowane odpowiedzi

Witam po raz pierwszy na forum :)

 

Mam na tapecie komputer z WinXP Prof Sp2, który został zarażony trojanami. Nie zagłebiajac sie w szczegóły używając róznych narzedzi:

Kaspersky Virus Removal Tools, Eset NOD32, MalwareBytes udało mi sie usunąc lub wyleczyć prawie półtoratysiąca plików, głównie:

- *.html

- *.dll

- *.exe

według wskazań programów odpowiedzialny za to był Trojan Win32/Ramnit.A

 

Mój Problem wynika jednak z wirusa Trojan Win32.Digle.xgi który zainfekował plik pwordglc.exe

znajdujacy sie w C:\ProgramFiles\htwfsdcl\ - pomimo usuniecia tej lokalizacji po jak sie wydaje skutecznej

dezynfekcji programem Kaspersky Virus Removal Tools po restarcie umieszcza się ten sam katalog w tym

samym miejscu z plikiem pwordglc.exe wewnątrz oraz umieszcza tego exe w Menu Start\Autostart profilu

uzytkownika głównego oraz/lub profilu Default User jednoczesnie w latalogu Temp tworzy zawirusowany plik

exe o nazwie mającej postac ciagu liter

 

Doszedłem do tego za winny tego zamieszania jest wpis w rejestrze:

HKLM\...\Winlogon: [userinit] C:\Program Files\htwfsdcl\pwordglc.exe który oprócz poprawnego odwołania do pliku userinit.exe odwołuje sie do pliku z wirusem

 

Próby zmiany rejestru zakończyły sie fiaskiem ponieważ każdorazowe zamknięcie resjestru powoduje ponowne pojawinie sie tej wartości

w kluczu. Przeszukałem cały rejest lecz nic powiązanego z tym wywołanie zarażonego pliku nie znalazłem

 

Po kilku dniach monotonnego siedzenia i skanowania "straciłem na chwile wiare we własne siły"

 

Poniżej log z FRST z prośba o pomoc

FRST.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Mój Problem wynika jednak z wirusa Trojan Win32.Digle.xgi który zainfekował plik pwordglc.exe

znajdujacy sie w C:\ProgramFiles\htwfsdcl\ - pomimo usuniecia tej lokalizacji po jak sie wydaje skutecznej

dezynfekcji programem Kaspersky Virus Removal Tools po restarcie umieszcza się ten sam katalog w tym

samym miejscu z plikiem pwordglc.exe wewnątrz oraz umieszcza tego exe w Menu Start\Autostart profilu

uzytkownika głównego oraz/lub profilu Default User jednoczesnie w latalogu Temp tworzy zawirusowany plik

exe o nazwie mającej postac ciagu liter

 

To jest składnik rootkit towarzyszący infekcji plików wykonywalnych Ramnit. Składnik ten powraca, jeśli Ramnit nie jest wcale do końca wyleczony. Porównawczo temat z forum: KLIK. Ze spisu używanych narzędzi wynika, że próby leczenia były podejmowane spod działającego Windows (co jest niestety mało skuteczne). Skorzystaj z bootowalnej płyty Kaspersky Rescue Disk.

 

 

Poniżej log z FRST

 

Czy system w ogóle nie startuje, że posiłkujesz się FRST? To narzędzie używam wtedy, gdy nie ma żadnego dostępu do Windows.

 

 

 

.

Odnośnik do komentarza

Zapomniałem dodać w pierwszym poście, że nie można wejść do trybu awaryjnego ale rozumiem ze na pewno jest to

następstwo jakiejś zmiany w rejestrach wywołanych przez wirusa

 

To jest składnik rootkit towarzyszący infekcji plików wykonywalnych Ramnit. Składnik ten powraca, jeśli Ramnit nie jest wcale do końca wyleczony. Porównawczo temat z forum: KLIK. Ze spisu używanych narzędzi wynika, że próby leczenia były podejmowane spod działającego Windows (co jest niestety mało skuteczne). Skorzystaj z bootowalnej płyty Kaspersky Rescue Disk.

 

Tak też zrobiłem: Raport z Kaspersky Rescue Disk. Znalazł w dużej ilości plików które znajdowały się w katalogu TEMP i katalogu RESTORE cztery wirusy:

- HEUR: Trojan-Dropper.Script.Generic

- Trojan.Win32.Patched.md

- Virus.Win32.Nimnul.a

- Trojan Win32.Digle.xgi (kierownik zamieszania !!!!)

 

Czy system w ogóle nie startuje, że posiłkujesz się FRST? To narzędzie używam wtedy, gdy nie ma żadnego dostępu do Windows.

 

Nie, system nawet sie odpalał.Uzyłem FRST tylko z powodu Trojana Win32.Digle.xgi który namnazał sie zarażajac i tworząc inne pliki chciałem sprawdzic czy

FRST znajdzie jakieś pliki budzące niepokój lub bezpośrednio wskazujące na rzeczonego Trojan Win32.Digle.xgi

 

Po przeskanowaniu systemu bootowalnym KRD, odpaliłem system i uruchomiłem GMER tak dla pełnego obrazu czy Kaspersky coś pomógł

poniżej log z GMER

GMER.txt

Odnośnik do komentarza
Znalazł w dużej ilości plików które znajdowały się w katalogu TEMP i katalogu RESTORE cztery wirusy:

- HEUR: Trojan-Dropper.Script.Generic

- Trojan.Win32.Patched.md

- Virus.Win32.Nimnul.a

- Trojan Win32.Digle.xgi (kierownik zamieszania !!!!)

 

To wszystko pochodna tego samego. Różne nazwy na w zasadzie tę samą infekcję (pliki HTML zarażone Nimnul/Ramnit oraz ów towarzyszący składnik rootkit są wykrywane pod inną nazwą, mimo że stanowią całość, a "Patched" to klasyfikacja plików naruszonych wirusem).

 

 

Zapomniałem dodać w pierwszym poście, że nie można wejść do trybu awaryjnego ale rozumiem ze na pewno jest to

następstwo jakiejś zmiany w rejestrach wywołanych przez wirusa

 

Objaśnij to, ponieważ nie mam żadnych danych na ten temat. Co się pokazuje podczas próby przejścia w awaryjny?

 

 

odpaliłem system i uruchomiłem GMER tak dla pełnego obrazu czy Kaspersky coś pomógł

 

Poproszę o uzupełnienie, czyli logi z OTL. FRST jest limitowany tylko do aspektów związanych z rozruchem, a poza tym czas płynie i muszę mieć widok Windows z teraz a nie sprzed kilku godzin.

 

 

 

 

.

Odnośnik do komentarza
Objaśnij to, ponieważ nie mam żadnych danych na ten temat. Co się pokazuje podczas próby przejścia w awaryjny?

 

Przy próbie wejścia w stan awaryjny ( bez znaczenia na tryb: z obsługą sieci, z wierszem poleceń czy tez sam) wywoływany podczas uruchamiania przez F8

zaczyna wczytywać normalnie pliki po czym po kilku sekundach następuje samoistny restart i tak na okrągło. Oczywiście Windows w trybie normalnym

(czyli z wirusami) odpala się bez problemu

 

 

Poproszę o uzupełnienie, czyli logi z OTL. FRST jest limitowany tylko do aspektów związanych z rozruchem, a poza tym czas płynie i muszę mieć widok Windows z teraz a nie sprzed kilku godzin.

 

Poniżej logi nowe logi OTL i GMER (system nie był restartowany od powstania pierwszego logu GMER z godz 18)

 

Ciekawostką jest tez że jak pierwszy raz skanowałem GMERem system zostawiłem podczas skanowania podpiętego pendriva! Jak podłączyłem go do innego komputera żeby załączyć

logi program antywirusowy wykrył mi na nim ponad 500 plików zainfekowanych (SIC!) a także podczas skanowania GMERem w pewnym momencie istniejący na zainfekowanym komputerze

program antywirusowy (McAffee Virus Scan Enterprise) zaczyna informować o plikach zarażonych wirusem W32/NGVCK znalezionym w plikach *.exe, w C:\System Volume Information\_restore{}

GMER.txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza

Pierwsze co się rzuca w oczy to tak archaiczny antywirus McAfee VirusScan Enterprise, że aż w to wiary nie daję. Silnik z roku 2003. Tak "zabezpieczony" system = ja się nie dziwię, że mamy katastrofę. Aktualizacja baz nie ma nic do rzeczy. Silnik podstawowy jest kompletnie przestarzały i nieodporny. Tego "antywirusa" może znokautować dziś byle co.

 

PRC - [2003-09-29 07:10:00 | 000,237,657 | ---- | M] (Network Associates, Inc.) -- C:\Program Files\Network Associates\VirusScan\mcshield.exe

PRC - [2003-09-29 07:10:00 | 000,081,990 | ---- | M] (Network Associates, Inc.) -- C:\Program Files\Network Associates\VirusScan\shstat.exe

PRC - [2003-09-29 07:10:00 | 000,069,706 | ---- | M] (Network Associates, Inc.) -- C:\Program Files\Network Associates\VirusScan\vstskmgr.exe

PRC - [2003-09-10 03:11:00 | 000,135,251 | ---- | M] (Network Associates, Inc.) -- C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

PRC - [2003-09-10 03:11:00 | 000,127,058 | ---- | M] (Network Associates, Inc.) -- C:\Program Files\Network Associates\Common Framework\naPrdMgr.exe

PRC - [2003-09-10 03:11:00 | 000,106,586 | ---- | M] (Network Associates, Inc.) -- C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

SRV - [2003-09-29 07:10:00 | 000,237,657 | ---- | M] (Network Associates, Inc.) [Auto | Running] -- C:\Program Files\Network Associates\VirusScan\mcshield.exe -- (McShield)

SRV - [2003-09-29 07:10:00 | 000,069,706 | ---- | M] (Network Associates, Inc.) [Auto | Running] -- C:\Program Files\Network Associates\VirusScan\vstskmgr.exe -- (McTaskManager)

SRV - [2003-09-10 03:11:00 | 000,106,586 | ---- | M] (Network Associates, Inc.) [Auto | Running] -- C:\Program Files\Network Associates\Common Framework\FrameworkService.exe -- (McAfeeFramework)

DRV - [2003-09-29 07:10:00 | 000,083,008 | ---- | M] (Network Associates, Inc.) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\naiavf5x.sys -- (NaiAvFilter1)

 

Przy próbie wejścia w stan awaryjny ( bez znaczenia na tryb: z obsługą sieci, z wierszem poleceń czy tez sam) wywoływany podczas uruchamiania przez F8

zaczyna wczytywać normalnie pliki po czym po kilku sekundach następuje samoistny restart i tak na okrągło. Oczywiście Windows w trybie normalnym

(czyli z wirusami) odpala się bez problemu

 

Zorientuję się zaraz jaka jest kondycja klucza SafeBoot.

 

 

(...) zostawiłem podczas skanowania podpiętego pendriva! Jak podłączyłem go do innego komputera żeby załączyć logi program antywirusowy wykrył mi na nim ponad 500 plików zainfekowanych (SIC!)

 

Widzę tu dwie możliwości (które mogły być skombinowane razem):

 

1. System zainfekowany wirusem wykonywalnych oznacza, że aktywny wirus atakuje wszystkie wykonywalne na wszystkich dyskach, nie wykazując określonego "smaku" na szczególny dysk. Jeśli na Twoim pendrive były jakiekolwiek pliki tego rodzaju (programy / ulubione etc.), to wirus mógł je zacząć załatwiać zaraz po podpięciu USB.

2. Pendrive był podpięty pod system, a to oznacza, że na tym pendrive Windows prawdopodobnie utworzył katalog System Volume Information (Przywracania systemu) + RECYCLER (Kosz), bo takowe są tworzone na każdym dostępnym dysku / partycji, nawet jeśli to jest tylko urządzenie podpięte tymczasowo. System produkował na bieżąco zainfekowane punkty Przywracania (porównaj z podanym wcześniej raportem Kasperskiego notującym kolosalną ilość wyników z C:\System Volume Information), co mogło tenże proces wykonać także dla kolejnego dysku = pendrive. Między tamtym skanem Kasperskym a okresem posiedzenia pendrive przy skanie GMER upłynęło wystarczająco dużo czasu, by nowe pliki zostały zainfekowane, na kolejnym dysku.

 

Twoja ogromna nieostrożność, że nośnik przepinałeś. Raz podpięte urządzenie do kompa z Ramnit/Nimnul to wystarczający krok, by uczynić to urządzenie nośnikiem wirusa i za pomocą tegoż pendrive siać wirusem na kolejnych niewinnych komputerach. Ten pendrive musi by zweryfikowany raz jeszcze.

 

 

także podczas skanowania GMERem w pewnym momencie istniejący na zainfekowanym komputerze program antywirusowy (McAffee Virus Scan Enterprise) zaczyna informować o plikach zarażonych wirusem W32/NGVCK znalezionym w plikach *.exe, w C:\System Volume Information\_restore{}

 

GMER skanuje system plików, m.in. przechodzi po folderach Przywracania systemu. W takiej sytuacji strażnik rezydentny antywirusa przy próbie odczytu zainfekowanych obiektów się budzi (mimo że wcześniej nic nie notował). W32/NGVCK = Ramnit/Nimnul. To stara nazwa kodowa McAfee pod jaką wykrywa wirusy polimorficzne. Zaprawione katalogi Przywracania systemu są tu planowane do czyszczenia (konkrety: już w punkcie 1 poniżej stosowną komendą).

 

 

 

 


Co widzę teraz w logach: nadal są składniki infekcji i mam silne wątpliwości czy zarażanie wykonywalnych zostało powstrzymane. Zdaj sobie sprawę, że tu może wchodzić w grę format.... Jeśli nie pomogą kolejne zadane instrukcje + kolejne skany, nie widzę sensu w kółko powtarzać tych samych czynności, bo tu już nie ma nic więcej w arsenale ratunkowym (czyszczenie z poziomu boot płyty to najmocniejsze co można dać przy tej infekcji), zapewniam Cię. Prócz Ramnit/Nimnul, jest także (przy infekcji w wykonywalnych wręcz śmiesznie prosta) infekcja operująca przez Harmonogram zadań i tworząca w strefach Internetowych ofensywny klucz dający skutki podobne do zablokowanych ActiveX / skryptów, oraz ślady podpinania zainfekowanego nośnika USB....

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files\htwfsdcl
C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
C:\WINDOWS\tasks\fedtng.job
C:\WINDOWS\System32\rcimlbys.dll
C:\Documents and Settings\Biuro\Dane aplikacji\Mozilla\Firefox\Profiles\4zavwtrp.default\extensions\{5c99e1f0-a422-47be-8be3-a38148ed1615}
RD /S /Q C:\quarantine /C
RD /S /Q C:\FRST /C
RD /S /Q "C:\Kaspersky Rescue Disk 10.0" /C
 
:OTL
O20 - HKLM Winlogon: UserInit - (C:\Program Files\htwfsdcl\pwordglc.exe) - C:\Program Files\htwfsdcl\pwordglc.exe ()
O2 - BHO: (no name) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - No CLSID value found.
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab" (Reg Error: Key error.)
FF - prefs.js..extensions.enabledItems: {5c99e1f0-a422-47be-8be3-a38148ed1615}:2.7.2.0
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\explorer.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=dword:00000002
 
:Commands
[clearallrestorepoints]
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System będzie restartował. Po restarcie powinien się zgłosić log z wynikami usuwania.

 

2. Wygeneruj nowy log z OTL na dostosowanym warunku wklejając w oknie Własne opcje skanowania / skrypt poniższą treść i klik w Skanuj.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot /S

 

Dostarcz także świeżutki GMER + log z usuwania z punktu 1.

 

 

 

 

 

.

Odnośnik do komentarza
Co widzę teraz w logach: nadal są składniki infekcji i mam silne wątpliwości czy zarażanie wykonywalnych zostało powstrzymane. Zdaj sobie sprawę, że tu może wchodzić w grę format.... Jeśli nie pomogą kolejne zadane instrukcje + kolejne skany, nie widzę sensu w kółko powtarzać tych samych czynności, bo tu już nie ma nic więcej w arsenale ratunkowym (czyszczenie z poziomu boot płyty to najmocniejsze co można dać przy tej infekcji), zapewniam Cię. Prócz Ramnit/Nimnul, jest także (przy infekcji w wykonywalnych wręcz śmiesznie prosta) infekcja operująca przez Harmonogram zadań i tworząca w strefach Internetowych ofensywny klucz dający skutki podobne do zablokowanych ActiveX / skryptów, oraz ślady podpinania zainfekowanego nośnika USB....

 

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

Witam o poranku

 

zamieszczam log z OTL wykonany z podanym w poprzednim poście skryptem

 

07282011_093124.txt

 

Wygeneruj nowy log z OTL na dostosowanym warunku wklejając w oknie Własne opcje skanowania / skrypt

 

kolejne log z OTL na ololiczność trybu awaryjnego

 

OTL.Txt

 

 

Dostarcz także świeżutki GMER + log z usuwania z punktu 1.

 

GMER.txt

Odnośnik do komentarza

System ma całkowicie skasowany klucz Trybu awaryjnego. Zadanie ze skryptem wykonane, niestety infekcja się rekonstruuje, wrócił do Autostartu delikwent tytułowy (co oznacza, że w systemie musi nadal zachodzić proces z wykonywalnymi). Podejmij się kolejnej próby:

 

1. Uruchom plik dopasowany do XP z paczki Sality_RegKeys: KLIK.

 

2. Kolejny skrypt do OTL, tym razem o zawartości:

 

:OTL
O4 - Startup: C:\Documents and Settings\Biuro\Menu Start\Programy\Autostart\pwordglc.exe ()
O4 - Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\pwordglc.exe (Macromedia, Inc.)
O20 - HKLM Winlogon: UserInit - (C:\Program Files\htwfsdcl\pwordglc.exe) -  File not found
 
:Commands
[clearallrestorepoints]
[emptytemp]

 

3. Kolejny skan z płyty Kaspersky Rescue Disk. Nie zapomnij przeskanować obu partycji (C+E). Skan do skutku.

 

4. Start do Windows i komplet świeżych logów (OTL / GMER).

 

Jeśli to się okaże nieskuteczne, humanitarnym wyjściem jest format całego dysku, przy czym z tego dysku nie wolno zbackupować żadnych plików wykonywanych i HTML.

 

 

 

 

 

.

Odnośnik do komentarza

Uff jakoś dałem radę z tym wszystkim

 

poniżej w kolejności logi:

- z kolejnych skanowań Kaspersky Rescue Disk (zakończonych brakiem jakiejkolwiek infekcji - a przynajmniej tak to wyglądało)

 

KRDv1.txt

KRDv2.txt

KRDv3.txt

 

 

- OTL i GMER

 

OTL.Txt

GMER.txt

 

ale wydaje mi się, że niestety o końcowym sukcesie można zapomnieć, ech ....... (cały czas ten nieszczęsny plik pwordglc.exe wraca !!!!)

 

Aha co jeszcze dziwnego zauważyłem jak odpalony jest normalnie system co jakiś proces co kilka sekund uruchamia stacje dyskietek - objawia

się to tym, że widać jakby komputer chciał sczytać coś z dyskietki chociaż jej tam nie ma.

 

Sprawdziłem jeszcze czy uruchamia sie tryb awaryjny - niestety nie

Odnośnik do komentarza

Tak zapytam: czy to na pewno log z GMER z pełnego skanowania a nie preskan? On jest podejrzanie krótki.

 

 

Sprawdziłem jeszcze czy uruchamia sie tryb awaryjny - niestety nie

 

Jeśli wykonałeś import do rejestru, widocznie ta infekcja to kasuje i dopóki ona działa nie utrzyma się modyfikacja rejestru.

 

 

ale wydaje mi się, że niestety o końcowym sukcesie można zapomnieć, ech ....... (cały czas ten nieszczęsny plik pwordglc.exe wraca !!!!)

 

Spróbujmy to usunąć z poziomu zewnętrznego środowiska. Posługiwałeś się FRST, to i narzędzie jest Ci znajome i nim będę usuwać składniki.

 

1. Wklej do Notatnika poniższy tekst i zapisz pod nazwą fixlist.txt. Plik ten musi być zlokalizowany obok narzędzia FRST.

 

CMD: rd /s /q "C:\Program Files\htwfsdcl"
CMD: del /q "C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\pwordglc.exe"
CMD: rd /s /q C:\WINDOWS\Temp
Reg: reg delete "HKLM\SYSTEM\ControlSet004\Control\Session Manager" /v PendingFileRenameOperations /f

2. Wyłącz komputer i zostaw go na chwilę, dla oczyszczenia pamięci.

 

3. Bootujesz z płyty, która umożliwia uruchomienie FRST, uruchamiasz FRST i klikasz w Fix. Skrypt powinien zostać przetworzony i tam skąd uruchamiasz FRST powstanie log Fixlog.txt.

 

4. Wymieniasz płyty i bootujesz Kasperskiego, by przeskanować nim ponownie.

 

5. Po ukończeniu wszystkich czynności startujesz do Windows, ponawiasz import rekonstruujący Tryb awaryjny. Nowe logi GMER + OTL, dołącz też Fixlog.txt z punktu 3

 

 

 

 

.

Edytowane przez picasso
31.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...