Win32:Muldrop-AG, Win32:Hupigon-LCG

[slayne]

Witam

 

Proszę o pomoc w imieniu znajomego, który dosyć słabo zna się na komputerach.

 

Ogólnie z komputerem nie ma problemów. Jedynie Avast wyrzuca komunikat, że wykrył Win32:Muldrop-AG oraz Win32:Hupigon-LCG.

 

2010-10-19 18:56:53 SYSTEM 1344 Sign of "Win32:Muldrop-AG [Trj]" has been found in "C:\WINDOWS\svchost.exe" file.

2010-10-19 18:56:36 SYSTEM 1344 Sign of "Win32:Hupigon-LCG [Trj]" has been found in "C:\WINDOWS\xcopy.exe" file.

 

Po wybraniu opcji usuń i po restarcie po jakimś czasie znowu się pojawia.

 

Co do wykonania logów to Deamon Tools wyłączony Defoggerer. OTL poszedł bez problemu. Gmer w normalnym trybie powoduje restart. Zamieszczam minidump. W awaryjnym wiesza się w czasie uruchomienia. Dlatego dałem log z RootRepeal. Mam nadzieję, że to wystarczy do rozwiązania problemu.

 

OTL.Txt

Extras.Txt

RootRepeal report 10-19-10 (19-31-26).txt

 

MiniDump

[Landuss]

1. Z poziomu dodaj/usuń programy w panelu sterowania odinstaluj śmieci - Google Toolbar / RelevantKnowledge / Foxit Toolbar / DAEMON Tools Toolbar / Winamp Toolbar

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
IE - HKU\S-1-5-21-117609710-484763869-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.bearshare.com/pl/"
IE - HKU\S-1-5-21-117609710-484763869-682003330-1003\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.1.0014
FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query="
[2009-11-26 20:34:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Krystian\Dane aplikacji\Mozilla\Firefox\Profiles\buch6skk.default\extensions\DTToolbar@toolbarnet.com
[2009-04-30 19:15:40 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\Krystian\Dane aplikacji\Mozilla\Firefox\Profiles\buch6skk.default\searchplugins\daemon-search.xml
[2010-09-07 17:20:04 | 000,001,201 | ---- | M] () -- C:\Documents and Settings\Krystian\Dane aplikacji\Mozilla\Firefox\Profiles\buch6skk.default\searchplugins\winamp-search.xml
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found
O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Krystian\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O3 - HKLM\..\Toolbar: (Foxit Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found
O3 - HKLM\..\Toolbar: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found
O3 - HKU\S-1-5-21-117609710-484763869-682003330-1003\..\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found
O4 - HKLM..\Run: [bearShare] d:\Program Files\BearShare\BearShare.exe File not found
O4 - HKLM..\Run: [RelevantKnowledge] C:\Program Files\RelevantKnowledge\rlvknlg.exe (TMRG, Inc.)
O4 - HKU\S-1-5-21-117609710-484763869-682003330-1003..\Run: [RGSC] E:\Program Files\Rockstar Games\GTA IV\Rockstar Games Social Club\RGSCLauncher.exe File not found
O4 - HKU\S-1-5-21-117609710-484763869-682003330-1003..\Run: [Yodm3D] C:\Documents and Settings\Krystian\Pulpit\Programy\yodm3D(dobreprogramy.pl)\Yodm3D.exe File not found
O4 - Startup: C:\Documents and Settings\Krystian\Menu Start\Programy\Autostart\Adobe Media Player.lnk = C:\Program Files\Adobe Media Player\Adobe Media Player.exe File not found
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
O33 - MountPoints2\{9275268e-0d75-11dd-a857-00304f20eceb}\Shell\Open(&0)\command - "" = J:\Recycled\ctfmon.exe -- File not found
O33 - MountPoints2\{9275268f-0d75-11dd-a857-00304f20eceb}\Shell\Open(&0)\command - "" = K:\Recycled\ctfmon.exe -- File not found
O33 - MountPoints2\{cefd22b4-f047-11dc-a80f-00304f20eceb}\Shell\Open(&0)\command - "" = H:\Recycled\ctfmon.exe -- File not found
 
:Files
C:\Program Files\RelevantKnowledge
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~os2C.tmp\ossproxy.exe"=-
"C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~os20.tmp\ossproxy.exe"=-
"C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~os143.tmp\rlvknlg.exe"=-
"C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~os114.tmp\rlvknlg.exe"=-
"C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~osA5.tmp\rlvknlg.exe"=-
"C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~os52.tmp\rlvknlg.exe"=-
"c:\program files\relevantknowledge\rlvknlg.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz log z USBFix z opcji Listing

 

 

 

 

[slayne]

Wykonałem wszystko wg instrukcji. W czasie skanowania w OTL Avast znowu wyrzucił informację o dwóch trojanach dokładnie tych samych co poprzednio.

 

A oto logi:

OTL.Txt

Extras.Txt

 

otl_po_skrypcie.txt

 

UsbFix.txt

[picasso]

W czasie skanowania w OTL Avast znowu wyrzucił informację o dwóch trojanach dokładnie tych samych co poprzednio.

 

Infekcja Hupigon może być związana z zainfekowaną powłoką. Uruchom zgodnie z wytycznymi ComboFix i przedstaw wyniki.

[slayne]

Combofix w czasie uruchomienia w normalnym trybie wywołuje BSOD po wyświetleniu komunikatu o Usuwaniu plików. W trybie awaryjnym poszło bez problemów. Co ciekawe Combofix monitował, że jest uruchomiony Avast jednak sprawdziłem w nim i Osłona rezydentna była wyłączona.

 

Oto log:

 

combofix.txt

 

A oto Minidump, może się przyda.

LINK

[picasso]

ComboFix usunął m.in. "Kosz w Koszu", skąd przypuszczalnie mogły wracać te szkodniki:

 

c:\recycled\Recycled
c:\windows\svchost.exe
c:\windows\xcopy.exe

 

Natomiast:

 

1. W usuniętych plikach jest to:

 

c:\windows\system32\muzapp.exe

 

Nie wiem co o tym sądzić. To może być plik Samsunga (KLIK). Takie oprogramowanie jest na dysku. Wejdź do folderu C:\Qoobox\Quarantine i sprawdź czy ten plik: nie jest przypadkiem równy zero bajtów oraz przeskanuj go na VirusTotal.

 

c:\documents and settings\Krystian\Dane aplikacji\BITS
c:\documents and settings\Krystian\Dane aplikacji\BITS\BITS.ini
c:\documents and settings\Krystian\Dane aplikacji\BITS\DHTTable.dat
c:\documents and settings\Krystian\Dane aplikacji\BITS\ProxyList.ini
c:\documents and settings\Krystian\Dane aplikacji\BITS\UPnP.ini

 

To folder FlashGeta związany z jego konfiguracją BitTorrent. ComboFix to zawsze usuwa.

 

c:\windows\system32\kernel1.exe

 

To plik, który może być tworzony przez programy zmieniające wygląd ekranu logowania Windows (mamy tu takie zjawisko: StyleXP), i w takim przypadku plik ten jest alternatywnym ekranem logowania. Program użyty do zmiany wyglądu dopisuje go w pliku boot.ini na takiej zasadzie (tu przykład z TuneUp):

 

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=Optin /TUTag=literki /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /fastdetect /NoExecute=Optin /TUTag=literki-BAK /KERNEL=kernel1.exe

 

Pytaniem jest: czy wystąpiła jakaś znacząca zmiana w procesie logowania po tej operacji ComboFix oraz co masz w boot.ini.

 

2. Występują tu niezgodne sumy kontrolne plików a ComboFix pojechał po tym pliku:

 

Zainfekowana kopia c:\windows\system32\midimap.dll została znaleziona. Problem naprawiono 
Plik odzyskano z - c:\windows\VistaMizer\old\midimap.dll 

 

Trudno to oceniać na pewnika, bo tu jest zmodyfikowany Windows, ale przypuszczalnie podstawione pliki systemu wynikają z paczki VistaMizer a nie ingerencji infekcji.

 

 

Proponuję: przyjrzeć się czy wracają objawy infekcji. Jeśli nie, wtedy z kwarantanny Qoobox ComboFix podam instrukcje wyciągnięcia niepotrzebnie usuniętych obiektów i przejdziemy do sprzątania końcowego.

 

 

.

[slayne]

Plik

c:\windows\system32\muzapp.exe

nie jest zerowy. Ma rozmiar 172032 bajtów. Niestety nie mogę go przeskanować na Virustotal bo nie wiem czemu ale u mnie ta strona coś nie chce działać. Sprobuję później.

 

Logowanie nic się nie zmieniło. Wszystko jest tak jak było.

 

A w pliku boot.ini jest coś takiego:

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

 

 

Nie widać objawów infekcji. Pliki nie wróciły, Avast też nie zgłasza nic. Wcześniej wywalało podczas skanowania OTL ale teraz czysto, więc chyba ok.

[picasso]

Plik muzapp.exe był oznaczony jako autoryzowany w zaporze i figuruje przy tym marker Musiccity Co.Ltd. (PrevX klasyfikuje to jako prawidłowe KLIK i moim zdaniem to jest OK):

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\System32\muzapp.exe" = C:\WINDOWS\System32\muzapp.exe:*:Enabled:MUZ AOD APP player -- (Musiccity Co.Ltd.)

 

Może plik kernel1.exe to pozostałość po innym programie do zmiany wyglądu ekranu logowania. Skoro po jego usunięciu nie ma skutków ubocznych, to i nie będę go odzyskiwać.

 

 

1. Odzysk tego co uważam za skasowane niesłusznie. Otwórz Notatnik i wklej w nim:

 

DeQuarantine::
C:\Qoobox\Quarantine\C\documents and settings\Krystian\Dane aplikacji\BITS
C:\Qoobox\Quarantine\C\Windows\system32\muzapp.exe.vir
C:\Qoobox\Quarantine\C\Windows\system32\midimap.dll.vir
 
Quit::

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

2. Drobniutka poprawka do OTL, eliminacja szczątków Daemon Tools Toolbar / Ask Toolbar oraz zapisów usuniętych programów skonfigurowanych w ustawieniach zapory (więcej "not found" niż istniejących, to klucz cały skasuję, co potrzebne, samo się reautoryzuje). Przeglądarki mają być zamknięte podczas tego procesu. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.0.0.5
O3 - HKU\S-1-5-21-117609710-484763869-682003330-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
[2009-09-10 18:02:28 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Krystian\Dane aplikacji\Mozilla\Firefox\Profiles\buch6skk.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
 
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

 

Standardowe: Wykonaj skrypt.

 

3. Sprzątnij po narzędziach:

 

• W Start > Uruchom > wklej polecenie "c:\documents and settings\Krystian\Pulpit\ComboFix.exe" /uninstall
  
• W OTL wywołaj opcję Sprzątanie
  

4. I należy koniecznie załatać:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"avast!" = avast! Antivirus
"Gadu-Gadu" = Gadu-Gadu 7.7
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"Mozilla Thunderbird (2.0.0.12)" = Mozilla Thunderbird (2.0.0.12)

• Aktualizacja systemu i integrowanego komponentu: Service Pack 3 + Internet Explorer 8
  
• Aktualizacja pozostałego zakreślonego tu oprogramowania: INSTRUKCJE.
  
• W kwestii zamienników dla Gadu, zarówno starego niepełnosprawnego jak i nowego "w ciąży": Darmowe komunikatory
  

 

 

.

[slayne]

Wszystkie zalecenia z postu zastosowane. Komputerek działa ok. Sądzę, że temat do zamknięcia.