ramnit73

Witam serdecznie! Po 2-3 latach spokoju znowu musze zwrocic sie z prosba o pomoc. Komputer z systemem WinXP, zabezpieczony tylko przez Eset Nod32 AntiVirus (aktualny) i systemowy firewall. Infekcja zlapana z internetu z pozornie zwyklej strony. Poszukujac mapy z podzialem Niemiec na landy otworzylem jedna z grafik znaleziona przez Google. Podejrzany link: hxxp://www.google.pl/imgres?imgurl=http://www.pk.org.pl/EdytorFiles/Image/statystyki/Mapa_Niemcy_a.gif&imgrefurl=http://www.dailyrat.com/images/school/jump.php%3Ft%3Dmapa-niemiec&h=523&w=450&sz=56&tbnid=lRtdy-UL78bDHM:&tbnh=131&tbnw=113&prev=/images%3Fq%3Dniemcy%2Blandy%2Bmapa&zoom=1&q=niemcy+landy+mapa&hl=pl&usg=__BAsv0LDFgWLukTVg-YgBTTpMh50=&sa=X&ei=4AIhTeDTBYXB8QOstqGSBQ&ved=0CCUQ9QEwAQ Po probie zobaczenia obrazu calej strony, pokazala sie ramka sugerujaca potrzebe aktualizacji flasha. Odruchowo wyrazilem zgode i za chwile otrzymalem komunikat o zagrozeniu. Opis tego zdarzenia w AV wyglada nastepujaco: 2011-01-02 23:58:51 Ochrona systemu plików w czasie rzeczywistym plik C:\DOCUME~1\Admin\USTAWI~1\Temp\Dfv.exe Win32/TrojanDownloader.Agent.PXO koń trojański wyleczony przez usunięcie - poddany kwarantannie Zdarzenie wystąpiło podczas tworzenia nowego pliku przez aplikację: C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Opera\Opera\temporary_downloads\v11_flash_AV.exe. Niestety infekcja sie przedostala, czego objawy byly nastepujace: - spowolnienie komputera; - wzrost uzycia procesora (intensywne chlodzenie prawie caly czas); - spontanicznie uruchamianie IE z roznymi stronami; - proby laczenia sie komputera z adresem clickbuyads.com/borders.php i przekierowania na jakies IP (blokowane przez AV). Zaczalem od Spybota i wynik skanu byl nastepujacy: 03.01.2011 01:17:18 - ##### check started ##### 03.01.2011 01:17:18 - ### Version: 1.6.2 03.01.2011 01:17:18 - ### Date: 2011-01-03 01:17:18 03.01.2011 01:17:22 - ##### checking bots ##### 03.01.2011 01:20:49 - found: Win32.Agent.ieu Dane 03.01.2011 01:23:57 - found: Win32.FraudLoad.edt Ustawienia 03.01.2011 01:23:57 - found: Win32.FraudLoad.edt Dane 03.01.2011 01:23:57 - found: Win32.FraudLoad.edt Dane 03.01.2011 01:28:13 - found: Microsoft.WindowsSecurityCenter.AntiVirusOverride Ustawienia 03.01.2011 01:28:13 - found: Microsoft.WindowsSecurityCenter.FirewallOverride Ustawienia 03.01.2011 01:55:47 - found: DoubleClick Cookie wyszukujące (Internet Explorer: Admin) 03.01.2011 01:55:47 - found: CPXinteractive Cookie wyszukujące (Internet Explorer: Admin) 03.01.2011 01:55:47 - found: Right Media Cookie wyszukujące (Internet Explorer: Admin) 03.01.2011 01:55:47 - found: WebTrends live Cookie wyszukujące (Firefox: Admin (default)) 03.01.2011 01:55:47 - found: DoubleClick Cookie wyszukujące (Firefox: Admin (default)) 03.01.2011 01:55:47 - found: Tradedoubler Cookie wyszukujące (Firefox: Admin (default)) 03.01.2011 01:55:47 - found: Tradedoubler Cookie wyszukujące (Firefox: Admin (default)) 03.01.2011 01:55:47 - found: Tradedoubler Cookie wyszukujące (Firefox: Admin (default)) 03.01.2011 01:55:47 - found: Tradedoubler Cookie wyszukujące (Firefox: Admin (default)) 03.01.2011 01:55:47 - found: Win32.PornPopUp Cookie wyszukujące (Firefox: Admin (default)) 03.01.2011 01:55:47 - found: Tradedoubler Cookie wyszukujące (Firefox: Admin (default)) 03.01.2011 01:55:48 - ##### check finished ##### Po probie usuniecia Spybotem i restarcie komputera, wynik kolejnego skanu: 03.01.2011 02:04:49 - ##### check started ##### 03.01.2011 02:04:49 - ### Version: 1.6.2 03.01.2011 02:04:49 - ### Date: 2011-01-03 02:04:49 03.01.2011 02:04:55 - ##### checking bots ##### 03.01.2011 02:12:26 - found: Win32.FraudLoad.edt Dane 03.01.2011 02:38:09 - found: Right Media Cookie wyszukujące (Internet Explorer: Admin) 03.01.2011 02:38:10 - ##### check finished ##### No i ciagle samoczynne otwieranie IE oraz proby laczenia komputera z jakims IP (blokowane przez AV). Oraz komunikat od AV: 2011-01-04 00:33:41 Skaner przy uruchamianiu plik C:\DOCUME~1\Admin\USTAWI~1\Temp\Dfw.exe odmiana wirusa Win32/Kryptik.JJJ koń trojański wyleczony przez usunięcie - poddany kwarantannie Zdecydowalem sie na Malwarebytes Anti-Malware. Oto log ze skanu i leczenia: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Wersja bazy: 5450 Windows 5.1.2600 Dodatek Service Pack 3 Internet Explorer 8.0.6001.18702 2011-01-04 00:52:09 mbam-log-2011-01-04 (00-52-09).txt Typ skanowania: Szybkie skanowanie Przeskanowano obiektów: 133539 Upłynęło: 3 minut(y), 39 sekund(y) Zainfekowanych procesów w pamięci: 0 Zainfekowanych modułów w pamięci: 0 Zainfekowanych kluczy rejestru: 4 Zainfekowanych wartości rejestru: 0 Zainfekowane informacje rejestru systemowego: 1 Zainfekowanych folderów: 0 Zainfekowanych plików: 3 Zainfekowanych procesów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych modułów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych kluczy rejestru: HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Z30KYPG3WS (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully. Zainfekowanych wartości rejestru: (Nie znaleziono zagrożeń) Zainfekowane informacje rejestru systemowego: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Zainfekowanych folderów: (Nie znaleziono zagrożeń) Zainfekowanych plików: c:\documents and settings\Admin\ustawienia lokalne\Temp\Dfv.exe (Rootkit.Agent) -> Quarantined and deleted successfully. c:\documents and settings\Admin\ustawienia lokalne\Temp\Dfx.exe (Rootkit.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\Dwysya.exe (Rootkit.Agent) -> Quarantined and deleted successfully. Po restarcie wg kolejnego skanu system czysty, ale prosze o sprawdzenie logow: GMER 1.0.15.15530 - http://www.gmer.net Rootkit scan 2011-01-04 04:45:25 Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Hitachi_ rev.FB2O Running: gf3ybq4e.exe; Driver: C:\DOCUME~1\Admin\USTAWI~1\Temp\pxlcrpow.sys ---- System - GMER 1.0.15 ---- SSDT 85409C90 ZwAssignProcessToJobObject SSDT 8540A200 ZwDebugActiveProcess SSDT 8540A2F0 ZwDuplicateObject SSDT 85409590 ZwOpenProcess SSDT 85409800 ZwOpenThread SSDT 85409FD0 ZwProtectVirtualMemory SSDT 8540A0E0 ZwQueueApcThread SSDT 85409EC0 ZwSetContextThread SSDT 85409D90 ZwSetInformationThread SSDT 85406DA0 ZwSetSecurityObject SSDT 85409B90 ZwSuspendProcess SSDT 85409A80 ZwSuspendThread SSDT 854096E0 ZwTerminateProcess SSDT 85409A50 ZwTerminateThread SSDT 8540A6D0 ZwWriteVirtualMemory ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\SearchIndexer.exe[412] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation) .text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1688] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00] ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET) Device \FileSystem\Fastfat \Fat A2339D20 AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET) ---- EOF - GMER 1.0.15 ---- OTL.txt Extras.txt