Wirus powykradał hasła, rejestruje każdy ruch na klawiaturze

[jaskra97]

A więc tak. Zazwyczaj się pilnuję, ale dzisiaj dałem się ponieść i chciałem ściągnąć haki do pewnej gry. I wtedy się zaczęło. Eset zaczął krzyczeć o dziwnych plikach (typu 4563956.exe). Niestety nie zapamiętałem jakiego wirusa wskazał z nazwy. Mam Windows 7, w folderze Document and settings w folderze roaming był plik o nazwie "accounts" z moimi wszystkimi(!) pasami na kompie. Otworzyłem folder "temp", żeby zobaczyć czy tam jest coś dziwnego. Było kilka plików z losowymi nazwami(które od razu wpakowałem do kwarantanny eseta), 1 plik .bat(o nazwie persis.bat) i dziwny plik o nazwie log.txt, w którym jest wypisane wszystko(!) co napisałem na klawiaturze, wraz z dokładną godziną. Proszę o pomoc. Zaraz dojdzie log z GMERA.

 

Log z Gmera( trochę tego mało):

OTL.Txt

Extras.Txt

[picasso]

Mam Windows 7, w folderze Document and settings w folderze roaming był plik o nazwie "accounts" z moimi wszystkimi(!) pasami na kompie.

 

Documents and Settings nie istnieje na Windows 7 i Vista. To co widzisz pod tą nazwą to tylko link symboliczny (dla wstecznej kompatybilności), który kieruje do właściwej ścieżki C:\Users.

 

 

Zaraz dojdzie log z GMERA. (..) Log z Gmera( trochę tego mało)

 

Jest napisane wyraźnie = GMER nie działa poprawnie na systemach 64-bit. Usuwam "log".

 

 

---

Jedyny ślad po infekcji, który widzę, to zmodyfikowana wartość Userinit oraz podrobiony zapis "Audio" (normalnie kieruje do pliku infekcji w Temp), z tym że pliki już usunięte:

 

O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\Jakub\AppData\Roaming\n55dtrvYJLi.exe) -  File not found
O4:64bit: - HKLM..\Run: [Audio HD Driver]  File not found

Nie jestem pewna co to za ukryte foldery:

 

[2011-05-22 14:03:08 | 000,000,000 | -HSD | C] -- C:\ProgramData\DSS
[2011-05-22 13:10:12 | 000,000,000 | -HSD | C] -- C:\Windows\ftpcache
[2011-05-22 12:23:58 | 000,000,000 | -H-D | C] -- C:\Windows\Icons

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\Jakub\AppData\Roaming\n55dtrvYJLi.exe) -  File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-781CD0E19F00} - No CLSID value found.
O4:64bit: - HKLM..\Run: [Audio HD Driver]  File not found
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zresetowany i otrzymasz log z usuwania.

 

2. Wystarczy, że pokażesz tylko log z usuwania. Nie potrzebuję już normalnych logów z OTL. Natomiast stwórz log listujący zawartość owych ukrytych folderów, tzn. w OTL wszystko ustaw na Brak + Żadne a w sekcji Własne opcje skanowania / skrypt wklej:

 

DIR /S /A C:\ProgramData\DSS /C

DIR /S /A C:\Windows\ftpcache /C
DIR /S /A C:\Windows\Icons /C

Klik w Skanuj (a nie Wykonaj skrypt!).

 

 

 

.

[jaskra97]

Są wszystkie logi, oprócz tego z usuwania. Nie zapisał się (przynajmniej nigdzie go nie ma). Od siebie dodam tylko, że w tle leci cały czas proces "PING.exe", oraz dziwny proces "MSASCui.exe", sugerujący że jest częścią Windows Defender, ale w menedżerze ma ikonkę haka do gry..........Po skillowaniu obu tych procesów włączają się natychmiast od nowa. W folderze "Temp" od nowa utworzył się plik persis.bat. Podejrzałem go notatnikiem, a w środku jest napisane:

 

:n

tasklist | find "MSASCui.exe" || C:\Users\Jakub\AppData\Roaming\Microsoft\Defender\MSASCui.exe

ping -n 2 localhost

goto n

 

W folderze "temp" od nowa utworzył się plik log.txt, w którym jest wypisany każdy mój ruch na klawiaturze (rejestruje nawet cały ten post, ma wylistowane wszystkie programy jakie uruchamiałem, ma nawet zapisane hasło do forum, które musiałem wpisać wczasie logowania). Wygląda mniej więcej tak (hasło sam "zagwiadkowałem"). Dodane do załącznika.

OTL.Txt

log.txt

[picasso]

Co do tych tajemniczych folderów: Folder ftpcache jest pusty, DSS nadal nie wiem od czego (otwórz plik C:\PROGRAMDATA\DSS\Content Activation\readme.txt i sprawdź co tam jest napisane) a Icons równe temu o czym mówi nazwa.

 

 

Są wszystkie logi, oprócz tego z usuwania. Nie zapisał się (przynajmniej nigdzie go nie ma).

 

W C:\_OTL powinien być.

 

 

Od siebie dodam tylko, że w tle leci cały czas proces "PING.exe", oraz dziwny proces "MSASCui.exe", sugerujący że jest częścią Windows Defender, ale w menedżerze ma ikonkę haka do gry..........Po skillowaniu obu tych procesów włączają się natychmiast od nowa.

 

Nie wiem jak to się stało, że nie zauważyłam tego (widocznie w Notatniku zbyt dużo sobie zakreśliłam przez nieuwagę):

 

O4 - HKCU..\Run: [MSASCui] C:\Users\Jakub\AppData\Roaming\Microsoft\Defender\MSASCui.exe ()

 

1. Konstruuj nowy skrypt do OTL, tym razem o zawartości:

 

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSASCui"=-
 
:Files
C:\Users\Jakub\AppData\Roaming\Microsoft\Defender
 
:Commands
[emptytemp]

2. Przedstaw nowy cały log z opcji Skanuj + ten z usuwania.

 

 

 

.

[jaskra97]

Wszystkie logi w załącznikach. Może zobrazuję trochę sytuację. Po dwukrotnym czyszczeniu folderu "Temp" od nowa, za każdym razem tworzy się plik "persis.bat", z taką samą zawartością jaką podawałem wcześniej. Tworzy się także ten plik log.txt. Co go tworzy? Mo chyba normalnie nie jest posiadanie na kompie pliku z zarejestrowanym każdym kliknięciem (mam nadzieję, że zobaczyłaś jak wygląda ten plik od środka).

readme.txt

log z pierwszego usuwania.txt

log z drugiego usuwania.txt

OTL.Txt

[picasso]

1. Folder wyleciał, wpis rejestru niby też:

 

========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\MSASCui deleted successfully.
========== FILES ==========
C:\Users\Jakub\AppData\Roaming\Microsoft\Defender folder moved successfully.

Ale w logu jest jako pusty:

 

O4 - HKCU..\Run: [MSASCui]  File not found

Start > w polu szukania wklep regedit > w poniższym kluczu

 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

Skasuj wartość MSASCui.

 

2. I sprawdź jeszcze co jest w tym folderze (ja nie mam na Windows 7 takiego "Helpa"):

 

[2011-06-01 20:03:53 | 000,000,000 | ---D | C] -- C:\Users\Jakub\AppData\Local\Microsoft Help
[2011-06-01 20:03:52 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft Help

 

 

Po dwukrotnym czyszczeniu folderu "Temp" od nowa, za każdym razem tworzy się plik "persis.bat", z taką samą zawartością jaką podawałem wcześniej. Tworzy się także ten plik log.txt.

 

W logach już naprawdę nic nie widzę. Czy na pewno to ma miejsce po usunięciu sfałszowanego Defendera?

 

 

 

PS. A ten folder DSS wygląda na folder zabezpieczeń "The files contained in this folder and it's subfolders have been created during the installation and the activation of a Content Activation protected application. (...) See www.securom.com for further information"

 

.

[jaskra97]

Ok. Więc w folderze "temp" nie ma już tych dziwnych plików. Apropo's tego Microsoft Helper. W folderze "local" nie ma w nim żadnego pliku, a w folderze "programdata" jest w nim jeden plik: nslist.hxl.

 

Mam jedną obawę. Mam pozmieniać hasła do poczt, forum itd? Jak sama widziałaś zaglądając do tego pliku "log.txt", były tam zapisywane wszystkie kliknięcia na klawiaturze, a także włączane programy. I jeszcze, jak napisałem w 1 poście od razu po infekcji w folderze Jakub\Appdata\Roaming powstał plik o nazwie Accounts, w którym była zgrabna tabelka, z moimi programami, które przechowywały hasła. W pierwszej rubryce była nazwa programu, a w drugiej hasła do poszczególnych kont. Było hasło do steama, do moich wszystkich kont pocztowych, zapisanych w thunderbirdzie, oraz wszystkie hasła przechowywane przez firefoxa. A więc mam pozmieniać hasła czy nie?

[picasso]

1. Wiadomo: Sprzątanie w OTL.

 

2. Wykonaj sobie jeszcze aktualizacje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java™ 6 Update 25
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

Stare Java wymontuj na korzyść najnowszej 32-bitowej wersji, do aktualizacji też Adobe Shockwave. Szczegóły aktualizacyjne; INSTRUKCJE.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

4. Wreszcie:

 

 

Mam jedną obawę. Mam pozmieniać hasła do poczt, forum itd? Jak sama widziałaś zaglądając do tego pliku "log.txt", były tam zapisywane wszystkie kliknięcia na klawiaturze, a także włączane programy. I jeszcze, jak napisałem w 1 poście od razu po infekcji w folderze Jakub\Appdata\Roaming powstał plik o nazwie Accounts, w którym była zgrabna tabelka, z moimi programami, które przechowywały hasła. W pierwszej rubryce była nazwa programu, a w drugiej hasła do poszczególnych kont. Było hasło do steama, do moich wszystkich kont pocztowych, zapisanych w thunderbirdzie, oraz wszystkie hasła przechowywane przez firefoxa. A więc mam pozmieniać hasła czy nie?

Tak, to było w kolejności planowane do wykonania (po usunięciu wszystkich składników infekcji): zmienić wszystkie hasła. Czy wyciekło czy nie, nie ufałabym sytuacji. Lepiej to wykonać nawet na zapas niż potem płakać.

 

 

Apropo's tego Microsoft Helper. W folderze "local" nie ma w nim żadnego pliku, a w folderze "programdata" jest w nim jeden plik: nslist.hxl.

 

Wygląda na to, że folder Help + plik nslist.hxl są OK: KLIK / KLIK.

 

 

 

.

[jaskra97]

Dzięki za instrukcje. Temat do zamknięcia