Infekcji z internetu m.in. przez Win32.FraudLoad.edt

[ramnit73]

Witam serdecznie!

 

Po 2-3 latach spokoju znowu musze zwrocic sie z prosba o pomoc.

Komputer z systemem WinXP, zabezpieczony tylko przez Eset Nod32 AntiVirus (aktualny) i systemowy firewall.

Infekcja zlapana z internetu z pozornie zwyklej strony. Poszukujac mapy z podzialem Niemiec na landy otworzylem jedna z grafik znaleziona przez Google. Podejrzany link:

 

 

hxxp://www.google.pl/imgres?imgurl=http://www.pk.org.pl/EdytorFiles/Image/statystyki/Mapa_Niemcy_a.gif&imgrefurl=http://www.dailyrat.com/images/school/jump.php%3Ft%3Dmapa-niemiec&h=523&w=450&sz=56&tbnid=lRtdy-UL78bDHM:&tbnh=131&tbnw=113&prev=/images%3Fq%3Dniemcy%2Blandy%2Bmapa&zoom=1&q=niemcy+landy+mapa&hl=pl&usg=__BAsv0LDFgWLukTVg-YgBTTpMh50=&sa=X&ei=4AIhTeDTBYXB8QOstqGSBQ&ved=0CCUQ9QEwAQ

 

 

Po probie zobaczenia obrazu calej strony, pokazala sie ramka sugerujaca potrzebe aktualizacji flasha. Odruchowo wyrazilem zgode i za chwile otrzymalem komunikat o zagrozeniu. Opis tego zdarzenia w AV wyglada nastepujaco:

 

2011-01-02 23:58:51 Ochrona systemu plików w czasie rzeczywistym

plik C:\DOCUME~1\Admin\USTAWI~1\Temp\Dfv.exe Win32/TrojanDownloader.Agent.PXO koń trojański

wyleczony przez usunięcie - poddany kwarantannie

Zdarzenie wystąpiło podczas tworzenia nowego pliku przez aplikację:

C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Opera\Opera\temporary_downloads\v11_flash_AV.exe.

 

 

Niestety infekcja sie przedostala, czego objawy byly nastepujace:

- spowolnienie komputera;

- wzrost uzycia procesora (intensywne chlodzenie prawie caly czas);

- spontanicznie uruchamianie IE z roznymi stronami;

- proby laczenia sie komputera z adresem clickbuyads.com/borders.php i przekierowania na jakies IP (blokowane przez AV).

 

 

 

 

 

Zaczalem od Spybota i wynik skanu byl nastepujacy:

 

03.01.2011 01:17:18 - ##### check started #####

03.01.2011 01:17:18 - ### Version: 1.6.2

03.01.2011 01:17:18 - ### Date: 2011-01-03 01:17:18

03.01.2011 01:17:22 - ##### checking bots #####

03.01.2011 01:20:49 - found: Win32.Agent.ieu Dane

03.01.2011 01:23:57 - found: Win32.FraudLoad.edt Ustawienia

03.01.2011 01:23:57 - found: Win32.FraudLoad.edt Dane

03.01.2011 01:23:57 - found: Win32.FraudLoad.edt Dane

03.01.2011 01:28:13 - found: Microsoft.WindowsSecurityCenter.AntiVirusOverride Ustawienia

03.01.2011 01:28:13 - found: Microsoft.WindowsSecurityCenter.FirewallOverride Ustawienia

03.01.2011 01:55:47 - found: DoubleClick Cookie wyszukujące (Internet Explorer: Admin)

03.01.2011 01:55:47 - found: CPXinteractive Cookie wyszukujące (Internet Explorer: Admin)

03.01.2011 01:55:47 - found: Right Media Cookie wyszukujące (Internet Explorer: Admin)

03.01.2011 01:55:47 - found: WebTrends live Cookie wyszukujące (Firefox: Admin (default))

03.01.2011 01:55:47 - found: DoubleClick Cookie wyszukujące (Firefox: Admin (default))

03.01.2011 01:55:47 - found: Tradedoubler Cookie wyszukujące (Firefox: Admin (default))

03.01.2011 01:55:47 - found: Tradedoubler Cookie wyszukujące (Firefox: Admin (default))

03.01.2011 01:55:47 - found: Tradedoubler Cookie wyszukujące (Firefox: Admin (default))

03.01.2011 01:55:47 - found: Tradedoubler Cookie wyszukujące (Firefox: Admin (default))

03.01.2011 01:55:47 - found: Win32.PornPopUp Cookie wyszukujące (Firefox: Admin (default))

03.01.2011 01:55:47 - found: Tradedoubler Cookie wyszukujące (Firefox: Admin (default))

03.01.2011 01:55:48 - ##### check finished #####

 

 

 

 

Po probie usuniecia Spybotem i restarcie komputera, wynik kolejnego skanu:

 

03.01.2011 02:04:49 - ##### check started #####

03.01.2011 02:04:49 - ### Version: 1.6.2

03.01.2011 02:04:49 - ### Date: 2011-01-03 02:04:49

03.01.2011 02:04:55 - ##### checking bots #####

03.01.2011 02:12:26 - found: Win32.FraudLoad.edt Dane

03.01.2011 02:38:09 - found: Right Media Cookie wyszukujące (Internet Explorer: Admin)

03.01.2011 02:38:10 - ##### check finished #####

 

 

 

 

 

 

No i ciagle samoczynne otwieranie IE oraz proby laczenia komputera z jakims IP (blokowane przez AV). Oraz komunikat od AV:

 

2011-01-04 00:33:41 Skaner przy uruchamianiu

plik C:\DOCUME~1\Admin\USTAWI~1\Temp\Dfw.exe odmiana wirusa Win32/Kryptik.JJJ koń trojański

wyleczony przez usunięcie - poddany kwarantannie

 

 

 

 

Zdecydowalem sie na Malwarebytes Anti-Malware. Oto log ze skanu i leczenia:

 

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Wersja bazy: 5450

 

Windows 5.1.2600 Dodatek Service Pack 3

Internet Explorer 8.0.6001.18702

 

2011-01-04 00:52:09

mbam-log-2011-01-04 (00-52-09).txt

 

Typ skanowania: Szybkie skanowanie

Przeskanowano obiektów: 133539

Upłynęło: 3 minut(y), 39 sekund(y)

 

Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 4

Zainfekowanych wartości rejestru: 0

Zainfekowane informacje rejestru systemowego: 1

Zainfekowanych folderów: 0

Zainfekowanych plików: 3

 

Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)

 

Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)

 

Zainfekowanych kluczy rejestru:

HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Z30KYPG3WS (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

 

Zainfekowanych wartości rejestru:

(Nie znaleziono zagrożeń)

 

Zainfekowane informacje rejestru systemowego:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Zainfekowanych folderów:

(Nie znaleziono zagrożeń)

 

Zainfekowanych plików:

c:\documents and settings\Admin\ustawienia lokalne\Temp\Dfv.exe (Rootkit.Agent) -> Quarantined and deleted successfully.

c:\documents and settings\Admin\ustawienia lokalne\Temp\Dfx.exe (Rootkit.Agent) -> Quarantined and deleted successfully.

c:\WINDOWS\Dwysya.exe (Rootkit.Agent) -> Quarantined and deleted successfully.

 

 

 

 

 

 

 

Po restarcie wg kolejnego skanu system czysty, ale prosze o sprawdzenie logow:

 

 

GMER 1.0.15.15530 - http://www.gmer.net

Rootkit scan 2011-01-04 04:45:25

Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Hitachi_ rev.FB2O

Running: gf3ybq4e.exe; Driver: C:\DOCUME~1\Admin\USTAWI~1\Temp\pxlcrpow.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT 85409C90 ZwAssignProcessToJobObject

SSDT 8540A200 ZwDebugActiveProcess

SSDT 8540A2F0 ZwDuplicateObject

SSDT 85409590 ZwOpenProcess

SSDT 85409800 ZwOpenThread

SSDT 85409FD0 ZwProtectVirtualMemory

SSDT 8540A0E0 ZwQueueApcThread

SSDT 85409EC0 ZwSetContextThread

SSDT 85409D90 ZwSetInformationThread

SSDT 85406DA0 ZwSetSecurityObject

SSDT 85409B90 ZwSuspendProcess

SSDT 85409A80 ZwSuspendThread

SSDT 854096E0 ZwTerminateProcess

SSDT 85409A50 ZwTerminateThread

SSDT 8540A6D0 ZwWriteVirtualMemory

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\WINDOWS\system32\SearchIndexer.exe[412] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

.text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1688] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00]

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

 

Device \FileSystem\Fastfat \Fat A2339D20

 

AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)

 

---- EOF - GMER 1.0.15 ----

OTL.txt

Extras.txt

[Landuss]

W logach nie ma śladu aktywnej infekcji więc nie ma tu nic do roboty. Użyj opcji Sprzątanie z OTL oraz wyzeruj stan przywracania systemu: KLIK

Edytowane 17 Października 2011 przez picasso
5.02.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso