Skocz do zawartości

Win32:Muldrop-AG, Win32:Hupigon-LCG


slayne

Rekomendowane odpowiedzi

Witam

 

Proszę o pomoc w imieniu znajomego, który dosyć słabo zna się na komputerach.

 

Ogólnie z komputerem nie ma problemów. Jedynie Avast wyrzuca komunikat, że wykrył Win32:Muldrop-AG oraz Win32:Hupigon-LCG.

 

2010-10-19 18:56:53 SYSTEM 1344 Sign of "Win32:Muldrop-AG [Trj]" has been found in "C:\WINDOWS\svchost.exe" file.

2010-10-19 18:56:36 SYSTEM 1344 Sign of "Win32:Hupigon-LCG [Trj]" has been found in "C:\WINDOWS\xcopy.exe" file.

 

Po wybraniu opcji usuń i po restarcie po jakimś czasie znowu się pojawia.

 

Co do wykonania logów to Deamon Tools wyłączony Defoggerer. OTL poszedł bez problemu. Gmer w normalnym trybie powoduje restart. Zamieszczam minidump. W awaryjnym wiesza się w czasie uruchomienia. Dlatego dałem log z RootRepeal. Mam nadzieję, że to wystarczy do rozwiązania problemu.

 

OTL.Txt

Extras.Txt

RootRepeal report 10-19-10 (19-31-26).txt

 

MiniDump

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Z poziomu dodaj/usuń programy w panelu sterowania odinstaluj śmieci - Google Toolbar / RelevantKnowledge / Foxit Toolbar / DAEMON Tools Toolbar / Winamp Toolbar

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
IE - HKU\S-1-5-21-117609710-484763869-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.bearshare.com/pl/"
IE - HKU\S-1-5-21-117609710-484763869-682003330-1003\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.1.0014
FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query="
[2009-11-26 20:34:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Krystian\Dane aplikacji\Mozilla\Firefox\Profiles\buch6skk.default\extensions\DTToolbar@toolbarnet.com
[2009-04-30 19:15:40 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\Krystian\Dane aplikacji\Mozilla\Firefox\Profiles\buch6skk.default\searchplugins\daemon-search.xml
[2010-09-07 17:20:04 | 000,001,201 | ---- | M] () -- C:\Documents and Settings\Krystian\Dane aplikacji\Mozilla\Firefox\Profiles\buch6skk.default\searchplugins\winamp-search.xml
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found
O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Krystian\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O3 - HKLM\..\Toolbar: (Foxit Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found
O3 - HKLM\..\Toolbar: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found
O3 - HKU\S-1-5-21-117609710-484763869-682003330-1003\..\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found
O4 - HKLM..\Run: [bearShare] d:\Program Files\BearShare\BearShare.exe File not found
O4 - HKLM..\Run: [RelevantKnowledge] C:\Program Files\RelevantKnowledge\rlvknlg.exe (TMRG, Inc.)
O4 - HKU\S-1-5-21-117609710-484763869-682003330-1003..\Run: [RGSC] E:\Program Files\Rockstar Games\GTA IV\Rockstar Games Social Club\RGSCLauncher.exe File not found
O4 - HKU\S-1-5-21-117609710-484763869-682003330-1003..\Run: [Yodm3D] C:\Documents and Settings\Krystian\Pulpit\Programy\yodm3D(dobreprogramy.pl)\Yodm3D.exe File not found
O4 - Startup: C:\Documents and Settings\Krystian\Menu Start\Programy\Autostart\Adobe Media Player.lnk = C:\Program Files\Adobe Media Player\Adobe Media Player.exe File not found
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
O33 - MountPoints2\{9275268e-0d75-11dd-a857-00304f20eceb}\Shell\Open(&0)\command - "" = J:\Recycled\ctfmon.exe -- File not found
O33 - MountPoints2\{9275268f-0d75-11dd-a857-00304f20eceb}\Shell\Open(&0)\command - "" = K:\Recycled\ctfmon.exe -- File not found
O33 - MountPoints2\{cefd22b4-f047-11dc-a80f-00304f20eceb}\Shell\Open(&0)\command - "" = H:\Recycled\ctfmon.exe -- File not found
 
:Files
C:\Program Files\RelevantKnowledge
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~os2C.tmp\ossproxy.exe"=-
"C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~os20.tmp\ossproxy.exe"=-
"C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~os143.tmp\rlvknlg.exe"=-
"C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~os114.tmp\rlvknlg.exe"=-
"C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~osA5.tmp\rlvknlg.exe"=-
"C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~os52.tmp\rlvknlg.exe"=-
"c:\program files\relevantknowledge\rlvknlg.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz log z USBFix z opcji Listing

 

 

 

 

Odnośnik do komentarza

Combofix w czasie uruchomienia w normalnym trybie wywołuje BSOD po wyświetleniu komunikatu o Usuwaniu plików. W trybie awaryjnym poszło bez problemów. Co ciekawe Combofix monitował, że jest uruchomiony Avast jednak sprawdziłem w nim i Osłona rezydentna była wyłączona.

 

Oto log:

 

combofix.txt

 

A oto Minidump, może się przyda.

LINK

Odnośnik do komentarza

ComboFix usunął m.in. "Kosz w Koszu", skąd przypuszczalnie mogły wracać te szkodniki:

 

c:\recycled\Recycled

c:\windows\svchost.exe

c:\windows\xcopy.exe

 

Natomiast:

 

1. W usuniętych plikach jest to:

 

c:\windows\system32\muzapp.exe

 

Nie wiem co o tym sądzić. To może być plik Samsunga (KLIK). Takie oprogramowanie jest na dysku. Wejdź do folderu C:\Qoobox\Quarantine i sprawdź czy ten plik: nie jest przypadkiem równy zero bajtów oraz przeskanuj go na VirusTotal.

 

c:\documents and settings\Krystian\Dane aplikacji\BITS

c:\documents and settings\Krystian\Dane aplikacji\BITS\BITS.ini

c:\documents and settings\Krystian\Dane aplikacji\BITS\DHTTable.dat

c:\documents and settings\Krystian\Dane aplikacji\BITS\ProxyList.ini

c:\documents and settings\Krystian\Dane aplikacji\BITS\UPnP.ini

 

To folder FlashGeta związany z jego konfiguracją BitTorrent. ComboFix to zawsze usuwa.

 

c:\windows\system32\kernel1.exe

 

To plik, który może być tworzony przez programy zmieniające wygląd ekranu logowania Windows (mamy tu takie zjawisko: StyleXP), i w takim przypadku plik ten jest alternatywnym ekranem logowania. Program użyty do zmiany wyglądu dopisuje go w pliku boot.ini na takiej zasadzie (tu przykład z TuneUp):

 

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=Optin /TUTag=literki /Kernel=TUKernel.exe

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /fastdetect /NoExecute=Optin /TUTag=literki-BAK /KERNEL=kernel1.exe

 

Pytaniem jest: czy wystąpiła jakaś znacząca zmiana w procesie logowania po tej operacji ComboFix oraz co masz w boot.ini.

 

2. Występują tu niezgodne sumy kontrolne plików a ComboFix pojechał po tym pliku:

 

Zainfekowana kopia c:\windows\system32\midimap.dll została znaleziona. Problem naprawiono 

Plik odzyskano z - c:\windows\VistaMizer\old\midimap.dll

 

Trudno to oceniać na pewnika, bo tu jest zmodyfikowany Windows, ale przypuszczalnie podstawione pliki systemu wynikają z paczki VistaMizer a nie ingerencji infekcji.

 

 

Proponuję: przyjrzeć się czy wracają objawy infekcji. Jeśli nie, wtedy z kwarantanny Qoobox ComboFix podam instrukcje wyciągnięcia niepotrzebnie usuniętych obiektów i przejdziemy do sprzątania końcowego.

 

 

.

Odnośnik do komentarza

Plik

c:\windows\system32\muzapp.exe

nie jest zerowy. Ma rozmiar 172032 bajtów. Niestety nie mogę go przeskanować na Virustotal bo nie wiem czemu ale u mnie ta strona coś nie chce działać. Sprobuję później.

 

Logowanie nic się nie zmieniło. Wszystko jest tak jak było.

 

A w pliku boot.ini jest coś takiego:


[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

 

 

Nie widać objawów infekcji. Pliki nie wróciły, Avast też nie zgłasza nic. Wcześniej wywalało podczas skanowania OTL ale teraz czysto, więc chyba ok.

Odnośnik do komentarza

Plik muzapp.exe był oznaczony jako autoryzowany w zaporze i figuruje przy tym marker Musiccity Co.Ltd. (PrevX klasyfikuje to jako prawidłowe KLIK i moim zdaniem to jest OK):

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\WINDOWS\System32\muzapp.exe" = C:\WINDOWS\System32\muzapp.exe:*:Enabled:MUZ AOD APP player -- (Musiccity Co.Ltd.)

 

Może plik kernel1.exe to pozostałość po innym programie do zmiany wyglądu ekranu logowania. Skoro po jego usunięciu nie ma skutków ubocznych, to i nie będę go odzyskiwać.

 

 

1. Odzysk tego co uważam za skasowane niesłusznie. Otwórz Notatnik i wklej w nim:

 

DeQuarantine::
C:\Qoobox\Quarantine\C\documents and settings\Krystian\Dane aplikacji\BITS
C:\Qoobox\Quarantine\C\Windows\system32\muzapp.exe.vir
C:\Qoobox\Quarantine\C\Windows\system32\midimap.dll.vir
 
Quit::

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

2. Drobniutka poprawka do OTL, eliminacja szczątków Daemon Tools Toolbar / Ask Toolbar oraz zapisów usuniętych programów skonfigurowanych w ustawieniach zapory (więcej "not found" niż istniejących, to klucz cały skasuję, co potrzebne, samo się reautoryzuje). Przeglądarki mają być zamknięte podczas tego procesu. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.0.0.5

O3 - HKU\S-1-5-21-117609710-484763869-682003330-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

[2009-09-10 18:02:28 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Krystian\Dane aplikacji\Mozilla\Firefox\Profiles\buch6skk.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}

O4 - HKLM..\Run: [KernelFaultCheck] File not found

 

:Reg

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

 

Standardowe: Wykonaj skrypt.

 

3. Sprzątnij po narzędziach:

 

  • W Start > Uruchom > wklej polecenie "c:\documents and settings\Krystian\Pulpit\ComboFix.exe" /uninstall
  • W OTL wywołaj opcję Sprzątanie

4. I należy koniecznie załatać:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 7.0.5730.13)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20

"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7

"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003

"avast!" = avast! Antivirus

"Gadu-Gadu" = Gadu-Gadu 7.7

"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)

"Mozilla Thunderbird (2.0.0.12)" = Mozilla Thunderbird (2.0.0.12)

 

 

.

Odnośnik do komentarza
  • 4 tygodnie później...
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...