Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Prawdopodobnie trojan Win32/Injector

przemek80

Przez przemek80
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Ten log z OTL jest chyba ręcznie zmanipulowany, gdyż nie ma nagłówka np. dla sterowników, tak jakby coś tam wycinano. Log z GMER zrobiony w złym środowisku (KLIK) podczas działania sterownika emulacji napędów wirtualnych.

 

 

Od wczoraj antywirus krzyczy, że znalazł "a variant of Win32/Injector.KDU Trojan". Inne symptomy to zawieszanie się systemu przy próbie przełączenia użytkownika oraz brak możliwości uruchamiania plików .exe (pojawia się komunikat o błędzie).

 

Infekcję widać w GMER w postaci tego ukrytego wpisu startowego (plus podejrzane hooki w sekcji User Code Sections):

 

---- Registry - GMER 1.0.15 ----
 
Reg			 HKCU\Software\Microsoft\Windows\CurrentVersion\Run@hwtvsh.exe			 C:\Documents and Settings\Przemek\Dane aplikacji\hwtvsh.exe
Reg			 HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache@C:\Documents and Settings\Przemek\Dane aplikacji\hwtvsh.exe	  Auerbach Jim McKeeBernstein Louvre GerardNeil AeolusBenny
 
--- Files - GMER 1.0.15 ----
 
File			C:\Documents and Settings\Przemek\Dane aplikacji\hwtvsh.exe			160768 bytes executable

 

I pewnie nieaktualizowany Windows do tego doprowadził. Widzę, że to krakowany system, czyli należy podejrzewać, że jesteś na bakier z aktualizacjami automatycznymi lub zostały one zrobione za późno. Przechodząc do usuwania:

 

 

 

1. Wstępnie zastosuj blokadę na robaki sieciowe Windows Worms Doors Cleaner.

 

2. Do usuwania ukrytego wpisu użyję BlitzBlank. Opis oglądnij, by wiedzieć jak wygląda narzędzia, ale prawdopodobnie go nie pobierzesz z serwera oficjalnego. Plik jest przehostowany na serwer tymczasowy: KLIK. Uruchom program i w karcie Script wklej:

 

DeleteFile:
"C:\Documents and Settings\Przemek\Dane aplikacji\hwtvsh.exe"
"C:\Documents and Settings\Przemek\Dane aplikacji\jknxe.exe"
"C:\Documents and Settings\Przemek\Dane aplikacji\fukfp.exe"
"C:\Documents and Settings\Przemek\Dane aplikacji\sal.exe"
 
DeleteRegValue:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\hwtvsh.exe

 

Klik w Execute Now. Zatwierdź restart komputera. Na dysku C pojawi się log z usuwania.

 

3. Wykonaj do oceny nowe logi z OTL (nic w nim nie obcinaj, a Extras już nie potrzebuję) oraz GMER. Dołącz także log z usuwania wykonanego w BlitzBlank.

 

 

 

.

Odnośnik do komentarza
przemek80

przemek80

Opublikowano
  • Autor
Opublikowano

Witam ponownie

 

Załączam logi z blitzbank, otl (nic w nim nie wycinałem) oraz gmer - po odinstalowaniu alcohola.

 

P.S. Windows jest oryginalny, office 2003 był crackowany.

P.S.2 OTL mogę uruchomić tylko w trybie selektywnym, w trybie normalnym wyskakuje komunikat "wystąpił problem z aplikacją i zostanie ona zamknięta..."

 

Dziękuję za pomoc

blitzblank.txt

OTL.Txt

gmer.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zadanie nie wykonane do końca. Przepuszczałeś skrypt przed moją edycją. a wydawało mi się, że szybko to zrobiłam. wink.gif

 

1. Powtarzaj w Blitzblank skrypt o zawartości:

 

DeleteFile:
"C:\Documents and Settings\Przemek\Dane aplikacji\hwtvsh.exe"
 
DeleteRegValue:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\hwtvsh.exe

 

2. Przedstaw log z BlitzBlank oraz nowe logi z OTL + GMER zrobiony po:

 

 

gmer - po odinstalowaniu alcohola.

 

Nie wygląda na to, byś to zrobił do końca. Deinstalacja Alcohola nie usuwa sterownika SPTD, musi być on wymontowany z osobna narzędziem SPTDinst. W logu z OTL sterownik hula na dobre:

 

DRV - [2011-10-07 11:07:50 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

otl (nic w nim nie wycinałem)

 

Log nie był jednak kompletny. Teraz jest.

 

 

P.S. Windows jest oryginalny, office 2003 był crackowany.

 

To co robi w logu to:

 

========== Modules (No Company Name) ==========
 
MOD - [2008-06-19 19:53:03 | 000,060,416 | ---- | M] () -- C:\WINDOWS\system32\antiwpa.dll
 
O20 - Winlogon\Notify\Antiwpa: DllName - (antiwpa.dll) - C:\WINDOWS\System32\antiwpa.dll ()

 

To jest crack aktywacji Windows. Który zresztą jest wykrywany przez rozmaite skanery.

 

 

.

Odnośnik do komentarza
przemek80

przemek80

Opublikowano
  • Autor
Opublikowano

Sterownik alcohola odinstalowany, przy próbie wykonania skryptu blitzbank nie znajduje ścieżki do pliku (chyba juz jest usunięty).

 

Ok, ok, windows był oryginalny... dopóki moja siostra nie wzięła się za instalację office'a (pirackiego oczywiście.....) efektem była konieczność ponownej rejestracji windy, ale siostrzyczka wpadła na pomysł scrackowania systemu...

 

Załączam logi:

OTL.Txt

gmer.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Tak, w GMER nie widzę już tego ukrytego obiektu. Są jednak jeszcze resztki po infekcji.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\.DEFAULT..\Run: [hwtvsh.exe] C:\Documents and Settings\LocalService\Dane aplikacji\hwtvsh.exe File not found
O4 - HKU\S-1-5-18..\Run: [hwtvsh.exe] C:\Documents and Settings\LocalService\Dane aplikacji\hwtvsh.exe File not found
O4 - HKU\S-1-5-19..\Run: [hwtvsh.exe] C:\Documents and Settings\LocalService\Dane aplikacji\hwtvsh.exe File not found

 

Klik w Wykonaj skrypt. Po tym uruchom w OTL Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE

 

3. Wykonaj aktualizację Internet Explorer do wersji IE8. To jest istotne, mimo że używasz Firefox.

 

 

 

.

Edytowane przez picasso
10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...