Włączony emule zainfekował

[problemowiec]

Pracuje na winodws XP, gdy włączony był emule w nocy, rano zauważyłem komunikaty z noda windows\system32\4.exe ...system32\an.exe system32\mcsql.exe ...system32\mmsql.exe C:\win.exe' - te pliki wysłał mi nod do analizy. Pojawiła się róznież ikonka na dysku C o nazwie dx.exe - skasowałem ją przez shift+del. W msconfig odznaczyłem w zakładce uruchamianie proces: Service Manager, bo wydał mi się podejrzany (nie wiem czy słusznie) chciałbym żebyście sprawdzili logi i usunęli ten syf z kompa.

 

OTL:

http://wklej.org/id/367565/

 

Extras:

http://wklej.org/id/367566/

[picasso]

Rozszerz przedstawiane informacje:

 

1. Zabrakło obowiązkowego loga z rootkit detekcji: GMER. Dołącz.

 

2. W OTL w sekcji Własne opcje skanowania / skrypt wklej słowo msconfig i uruchom proces przez opcję Skanuj. Z tego powstanie log OTL pokazujący co wyłączyłeś:

 

W msconfig odznaczyłem w zakładce uruchamianie proces: Service Manager, bo wydał mi się podejrzany (nie wiem czy słusznie)

 

 

 

.

[problemowiec]

Log OTL:

http://wklej.org/id/367568/

 

log z GMER:

http://wklej.org/id/367571/

 

i jak się loguje do systemu to przy wyborze użytkownika pojawia się dodatkowo jakiś "administrator$"

[picasso]

1. To co wyłączyłeś to jest obiekt od Microsoft SQL Server:

 

MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Service Manager.lnk - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe - (Microsoft Corporation)

 

Masz ten soft zainstalowany.

 

 

2. Na chwilę obecną w logach są dwie bardzo podejrzane usługi:

 

SRV - [2010-07-23 05:44:48 | 000,720,896 | ---- | M] () [Auto | Running] -- C:\Program Files\StormII\oummt.biz -- (HidServ)
SRV - [2008-04-14 22:51:10 | 000,396,288 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\System32\cmd.exe -- (SuperCMD)

 

----> Pierwsza HidServ to trojan / keylogger. Dla porównania inne wyglądy usługi KLIK / KLIK, a w każdym przypadku towarzyszy plik f5859b27.rdb, który u Ciebie jest. W tym samym zakresie czasowym powstały te obiekty pasujące do całości:

 

========== Files/Folders - Created Within 30 Days ==========
 
[2010-07-23 05:44:46 | 000,000,000 | ---D | C] -- C:\Program Files\StormII
 
========== Files Created - No Company Name ==========
 
[2010-07-23 06:25:07 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\SysSetupddf.xml
[2010-07-23 05:44:50 | 000,008,192 | ---- | C] () -- C:\WINDOWS\System32\f5859b27.rdb
[2010-07-23 04:58:08 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\SysS.xml

 

Zawartość świeżo wygenerowanego folderu StormII jest tu nieznana, z wyjątkiem tego pliku, na którym jest podmontowana usługa HidServ. Ustaw w folderze widok szczegóły i cyknij zrzut ekranu z całego widoku co tam jeszcze jest.

 

----> Druga usługa SuperCMD jest dla mnie niejasna. Może tu był prowadzony jakiś tweak?

 

i jak się loguje do systemu to przy wyborze użytkownika pojawia się dodatkowo jakiś "administrator$"

 

Z dolarkiem na końcu? Start > Uruchom > CMD i wpisz polecenie net users. Zaznacz wszystko w oknie, skopiuj i tu przeklej.

 

 

.

[problemowiec]

dokładnie, z dolarkiem na końcu "$" co to znaczy "jest prowadzony tweak" zrobiłem zrzuty ekranu o które prosiłeś, co mam dalej robić?

 

 

[picasso]

Czyli ten folder ma tylko plik trojana w sobie i został dorobiony pod tym kątem a nie uzupełniony. Zabieramy się za usuwanie.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Services
HidServ
SuperCMD
 
:Files
C:\Program Files\StormII
C:\WINDOWS\System32\SysSetupddf.xml
C:\WINDOWS\System32\f5859b27.rdb
C:\WINDOWS\System32\SysS.xml
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom przez opcję Wykonaj skrypt. Po restarcie otrzymasz z tego log.

 

2. Wytwarzasz nowy log z OTL opcją skanowania. Dołączasz także ten log z usuwania.

 

co to znaczy "jest prowadzony tweak"

 

Chodzi mi o to czy nie prowadzono tutaj takiej operacji: KLIK. Skoro jednak wyrażasz niepewność / nie orientujesz się z czego to może pochodzić, usługę SuperCMD usuwam powyższym skryptem, bo z pewnością nie jest usługą domyślną Windows.

 

 

.

[problemowiec]

chciałem włączyć komputer, przeczytać odpowiedź Twoją i pokazał mi się kolejny użytkownik do wyboru "tsinternetus7r" zaraz biorę się za wykonanie czynności z powyższego postu.

 

a jakie ustawienia OTL mam ustawić podczas tego usuwania? takie jak podczas skanowania rzeczy pozaznaczać?

[picasso]

Proszę używaj edycji. Posty łączę.

 

a jakie ustawienia OTL mam ustawić podczas tego usuwania? takie jak podczas skanowania rzeczy pozaznaczać?

 

Nie prowadzisz przecież skanowania tylko usuwanie. Opcje dla skanu są nieistotne w tym momencie, bo Wykonujesz skrypt, który jest wklejony na dole.

 

 

.

[problemowiec]

Log z usuwania:

http://wklej.org/id/367911/

 

Log OTL:

http://wklej.org/id/367913/

 

Extras:

http://wklej.org/id/367915/

 

Jak uruchamiał się ponownie komputer to znowu byłem ja i 2 pozostałych użytkowników, ten z $ i tsinternetus7r

 

jako ukryty folder pokazuje mi się w program files "Bifrost" tam są pliki utworzone jakąś niecałą godzinę temu, nie wiem co to jest.:

 

[picasso]

Jest problem z usunięciem usługi:

 

Error: Unable to stop service HidServ!
Unable to delete service\driver key HidServ.

 

Poza tym, pojawiła się tu nowość z debugerem i zaczęły narastać nowe pliki:

 

O27 - HKLM IFEO\sethc.exe: Debugger - C:\WINDOWS\system32\taskmgr.exe (Microsoft Corporation)
 
[2010-07-23 21:58:53 | 000,108,107 | ---- | C] () -- C:\WINDOWS\System32\mcsql.exe
[2010-07-23 21:56:02 | 000,000,000 | -H-D | C] -- C:\Program Files\Bifrost

 

Zmiana metody usuwającej:

 

1. Uruchom Avenger i w oknie wklej:

 

Drivers to delete:
HidServ
 
Files to delete:
C:\WINDOWS\System32\mcsql.exe
 
Folders to delete:
C:\Program Files\Bifrost
 
Registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe

 

Kliknij w Execute i zatwierdź restart komputera. Po restarcie Avenger powinien podać log z operacji.

 

2. Wytwarzasz nowy log z OTL opcją Skanuj (wszystko ustawione na Użyj filtrowania). Dołączasz także log z operacji Avenger.

 

 

 

 

.

[problemowiec]

gdy avenger uruchamiał ponownie komputer kliknąłem na swoją nazwę użytkownika, zacząłem wpisywać hasło i pojawił się na 2 sekundy jakiś błąd taki dźwięk z komputera "error" i zdążyłem przeczytać C:program files\ uruchomił się jeszcze raz i później poszło ok.

 

log avengera:

http://wklej.org/id/367920/

 

log OTL: (może coś w tym otl u podmienione, może powinienem jego skasować i nowego ściągnąć, uruchamia się to wszystko jest na "użyj filtrowania" a rejestr- skan dodatkowy zawsze muszę przestawiać z "brak" na "użyj filtrowania")

http://wklej.org/id/367922/

Extras:

http://wklej.org/id/367923/

 

Zauważyłem także dziwne foldery w WINDOWS: provisioning, options, pss dużo ich...

[picasso]

gdy avenger uruchamiał ponownie komputer kliknąłem na swoją nazwę użytkownika, zacząłem wpisywać hasło i pojawił się na 2 sekundy jakiś błąd taki dźwięk z komputera "error" i zdążyłem przeczytać C:program files\ uruchomił się jeszcze raz i później poszło ok.

 

Tak, dwa restarty, bo zastosowałam komendę "Drivers to delete", a ta szczególna wymaga dwóch.

 

może coś w tym otl u podmienione, może powinienem jego skasować i nowego ściągnąć, uruchamia się to wszystko jest na "użyj filtrowania" a rejestr- skan dodatkowy zawsze muszę przestawiać z "brak" na "użyj filtrowania"

 

Tak jest zaprojektowany OTL. OTL uruchomiony po raz pierwszy ma wszystko ustawione na "Użyj filtrowania", ale już kolejne uruchomienia mają opcję skanu dodatkowego odznaczoną i należy to sobie zaznaczać za każdym razem, jeśli ma powstać Extras.txt ponownie.

 

Zauważyłem także dziwne foldery w WINDOWS: provisioning, options, pss dużo ich...

 

Te są w porządku.

 

 

***********************************************

 

Avenger pomyślnie wykonał zadanie i wszystko co zadałam usunął. W OTL nie widzę już nic nowego. Powstaje pytanie czy na ekranie logowania nadal widzisz te dziwne konta, oraz czy w C:\Documents and Settings są foldery o takich nazwach?

 

 

.

[problemowiec]

 

nie wiem gdzie tego szukać, siebie nie mogę tam znaleźć...

 

uruchomiłem ponownie, użytkowników dalej jest 3

[picasso]

nie wiem gdzie tego szukać, siebie nie mogę tam znaleźć...

 

Otwierasz folder konta Administrator, które jest nota bene Twoim własnym kontem Tomek = tak wynika z loga z OTL (konto o nazwie Tomek, ale Pulpit wskazuje, że jest w folderze Administrator). Masz otworzyć bezpośrednio folder C:\Documents and Settings, bo tam leżą wszystkie foldery zainicjowanych kont użytkowników.

 

uruchomiłem ponownie, użytkowników dalej jest 3

 

Wytwórz log z sid.vbs (punkt 3).

 

 

 

.

[problemowiec]

 

ciekawe czy ci użytkownicy nie pozostali w jakiś sposób aktywni. Sądzisz, że to sprawka jakiegoś bota, zwykłego wirusa, czy myślisz że to włamanie przez emula jakoś weszło? Mogę być bezpieczny? No a np na dysku E (tam gdzie pobierane są pliku emule nie istnieje ten wirus?

 

znowu to samo się dzieje:...

 

 

opadam z sił

[picasso]

Komentując widok folderu, nie widać tu folderów tych dodatkowych kont, tylko prawidłowe są, a zamalowany przez Ciebie Default to matryca dla nowych kont. Aczkolwiek po widoku folderu wnioskuję, że nie masz włączonych wszystkich opcji widoku, bo nie widać tu dwóch dodatkowych folderów kont systemowych, które na 100% są, a mają dodatkowy atrybut S (Systemowy): LocalService oraz NetworkService. Proszę włącz pokazywanie plików w Mój komputer > Narzędzia > Opcje folderów > Widok: odptaszkuj Ukryj chronione pliki systemu operacyjnego. I dopiero po tym sprawdź widok folderu.

 

Sądzisz, że to sprawka jakiegoś bota, zwykłego wirusa, czy myślisz że to włamanie przez emula jakoś weszło? Mogę być bezpieczny? No a np na dysku E (tam gdzie pobierane są pliku emule nie istnieje ten wirus?

 

Przypuszczam, że te konta na ekranie logowania to nic dobrego. Poza tym, wg tego co podawałam wcześniej, HidServ jest kojarzone z właściwościami keyloggera, a to oznacza, że po rozwiązaniu sprawy będziesz w try miga zmieniał wszędzie passy.

 

 

 

.

[problemowiec]

SID.VBS

 

********************************************************************************

 

Lista kont, identyfikatorów SID i ścieżek dostępu.

 

********************************************************************************

 

 

Nazwa użytkownika : administrator$

SID : S-1-5-21-725345543-1644491937-682003330-1004

Katalog profilu :

 

Nazwa użytkownika : Gość

SID : S-1-5-21-725345543-1644491937-682003330-501

Katalog profilu :

 

Nazwa użytkownika : iusr_server

SID : S-1-5-21-725345543-1644491937-682003330-1005

Katalog profilu :

 

Nazwa użytkownika : Pomocnik

SID : S-1-5-21-725345543-1644491937-682003330-1000

Katalog profilu :

 

Nazwa użytkownika : Tomek

SID : S-1-5-21-725345543-1644491937-682003330-500

Katalog profilu : C:\Documents and Settings\Administrator

 

Nazwa użytkownika : tsinternetus7r

SID : S-1-5-21-725345543-1644491937-682003330-1006

Katalog profilu :

 

********************************************************************************

 

 

będę musiał zmieniać nawet te hasła których nie używałem odkąd istnieje infekcja? np takie na które logowałem się kilka dni temu? Bo od wczoraj nigdzie się nie logowałem

[picasso]

1. Konta te nie mają przypisanego folderu (co się zgadza z brakiem folderów w Documents and Settings), a takie zjawisko jest możliwe jeśli konta nie inicjowano przez bezpośrednie logowanie. Dysponujesz XP Pro, toteż masz dostępną przystawkę użytkowników, w której da się prowadzić różne operacje.

 

Start > Uruchom > lusrmgr.msc

 

Wejdź w gałąź Użytkownicy i z prawokliku skasuj wszystkie te nienormalne konta, które się pokazały na ekranie logowania. Zresetuj komputer.

 

2. W związku z nowym alertem NOD i jawnym nawrotem infekcji wytwórz nowy log z OTL.

 

będę musiał zmieniać nawet te hasła których nie używałem odkąd istnieje infekcja? np takie na które logowałem się kilka dni temu? Bo od wczoraj nigdzie się nie logowałem

 

Wg opisu trojan z HidServ nagrywa uderzenia klawiaturowe, a jeśli nic nie wklepywałeś od czasu infekcji, to możliwe, że nie trzeba się tym zajmować.

 

.

[problemowiec]

a czy konto iusr_server też skasować? nie jest ono wyświetlane na ekranie logowania, ale ja takiego nie tworzyłem... a tu pokazuje je i nie posiada opisu

[picasso]

a czy konto iusr_server też skasować? nie jest ono wyświetlane w panelu wyboru kont, ale ja takiego nie tworzyłem...

 

Konta są tworzone również przez procesy systemowe czy instalacje programów, i mogą otrzymać atrybut ukryty, że się nie pokazują na ekranie logowania. Konto iusr_server wygląda na prawidłowe w sensie, że takie rzeczywiście może być w systemie jako pochodna usług IIS (KLIK). Masz zainstalowany Microsoft SQL Server. Ale patrząc na ciąg identyfikatorów SID to wygląda jakby te wszystkie konta powstały z "jednej macierzy". Prewencyjnie konto iusr_server wyłączyłabym, we Właściwościach da się to zaptaszkować, a pozostałe kompletnie skasować.

Inna sprawa to sam soft SQL, usługi w logu z OTL mają archaiczne datowanie na rok 2005 i ja bym wymontowała SQL z komputera dla bezpieczeństwa.

 

 

.

[problemowiec]

póki co tego konta nie usuwałem ani nie zawieszałem.

 

log OTL:

http://wklej.org/id/367942/

 

extras:

http://wklej.org/id/367943/

 

czy zawiesić teraz te konto? usunąć serwer SQL?

[picasso]

1. Dopisałam wcześniej:

 

Inna sprawa to sam soft SQL, usługi w logu z OTL mają archaiczne datowanie na rok 2005 i ja bym wymontowała SQL z komputera dla bezpieczeństwa.

 

SRV - [2005-05-04 00:04:28 | 009,150,464 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe -- (MSSQLSERVER)
SRV - [2005-05-03 21:42:56 | 000,323,584 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE -- (SQLSERVERAGENT)

 

Czyli: deinstalacja przestarzałego oprogramowania SQL i usunięcie konta IIS, by zlikwidować podatność na naruszanie bezpieczeństwa i zamknąć luki systemowe. Od tego rozpocznij. Następnie:

 

2. Mamy niestety nowe obiekty w logu:

 

SRV - [2010-07-24 00:24:22 | 000,093,731 | ---- | M] (123456) [Auto | Running] -- C:\WINDOWS\system32\f01012359k.cmd -- (F01012359K)
 
[2010-07-24 00:24:22 | 000,093,731 | ---- | M] (123456) -- C:\WINDOWS\System32\f01012359k.cmd
[2010-07-24 00:20:08 | 000,065,536 | ---- | M] () -- C:\WINDOWS\System32\SysS.xml

 

Wstępnie pobierz i uruchom zgodnie ze wskazówkami narzędzie ComboFix. Przedstaw raport, który wygeneruje.

 

 

 

 

 

.

[problemowiec]

usunięcie konta IIS - chodzi tu o usunięcie iusr_server? Bo tak to zrozumiałem i usunąłem

 

log ComboFix:

http://wklej.org/id/367950/

[picasso]

usunięcie konta IIS - chodzi tu o usunięcie iusr_server? Bo tak to zrozumiałem i usunąłem

 

Tak.

 

1. ComboFix usunął według spodziewań to co się pojawiło, a także dokasował wpis, którego OTL domyślnie nie listuje, czyli ActiveSetup z Bifrost:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
 
c:\documents and settings\LocalService\Dane aplikacji\addons.dat
c:\windows\system32\F01012359K.cmd
 
.
(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.
 
-------\Legacy_F01012359K
-------\Service_F01012359K
 
 
- - - - USUNIĘTO PUSTE WPISY - - - -
 
ActiveSetup-{9D71D88C-C598-4935-C5D1-43AA4DB90836} - c:\program files\Bifrost\server.exe
 

 

Podsumujmy: Microsoft SQL Server odinstalowany, wszystkie dziwne konta usunięte, w raporcie brak innych śladów infekcji. To sugeruje, że sprawa została naprostowana i możemy przejść do:

 

 

2. Część sprzątająca przed użyciem skanerów ogólnych:

 

Został jeszcze po SQL folder na dysku oraz wpis wyłączony w msconfig:

 

2010-06-05 22:21 . 2010-06-05 22:21	--------	d-----w-	c:\program files\Microsoft SQL Server
 
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Service Manager.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Service Manager.lnk
backup=c:\windows\pss\Service Manager.lnkCommon Startup

 

Otwórz Notatnik i wklej w nim:

 

REG DELETE "HKLM\software\microsoft\shared tools\msconfig\startupfolder" /f
RD /S /Q "C:\Program files\Microsoft SQL Server"
DEL /S C:\WINDOWS\System32\SysS.xml
PAUSE

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako DEL.BAT > Uruchom ten plik

 

 

Sprzątnięcie śladów i kwarantann po używanych specjalistycznych narzędziach:

• Start > Uruchom > wklej polecenie "C:\Documents and settings\Administrator\Pulpit\ComboFix.exe" /uninstall. To zlikwiduje składniki ComboFix oraz przeczyści folder Przywracania systemu.
  
• Następnie w OTL uruchom opcję Sprzątanie, co zlikwiduje kwarantanny OTL/Avenger oraz te narzędzia jako takie.
  

Te akcje przestawiają także widoczność plików ukrytych, dlatego też jeśli chcesz je oglądać musisz przekonfigurować na nowo opcje Widoku.

 

 

3. Po tym wszystkim należy się całkowity skan systemu na wszystkie dyski. Widzę w zainstalowanych programach, że masz pozycję Malwarebytes' Anti-Malware. Czy to najnowsza wersja i ma zaktualizowane bazy? Jeśli nie, nadrób to. Następnie wykonaj pełny skan i zgłoś się tu z wynikami.

 

 

 

.

[problemowiec]

Na trochę przed Twoim postem użyłem narzędzia OTC, kliknąłem tam na clean up i usunęło mi tą ikonkę z mieczem, OTL, combofixa, został chyba już tylko GMER, jak jego usuwa się? Mam nadzieję że ten OTC zrobił dobrą robotę i nie pozostawił jakiś śladów, wraz z usunięciem SQL teraz usunę program który był z nią powiązany - adonis. Czy jeszcze jakoś można przebadać system czy nie ma jakiś pozostałości, bo jakoś niepewnie się czuję