Net-Worm.Win32.Kolad.azgu analiza po usunięciu

[kasper93]

Wczoraj, a właściwie dzisiaj w nocy zauważyłem dziwny proces, mianowicie svchost.exe, ale w złym folderze i uruchamiający proces firefoxa, ale okno się nie pojawiało. O dziwo pierwszy raz pojawił się w C:\Windows\SysWOW64\windir\ (lub coś obok, bo nie pamiętam ) i spróbowałem go ręcznie usunąć to oczywiście się odtworzył po chwili. Zainstalowałem kasperskiego jako, że akurat nie miałem antivirusa :| I nawet po przeskanowaniu nie wykrył tego pliku jako zagrożenie, ale sam plik po usunięciu już się nie odtworzył, było późno to poszedłem spać i dzisiaj po włączeniu komputera wszystko wyglądało ok, ale kaspersky po ok 40 minutach znalazł %appdata%\windir\svchost.exe i tym razem wykrył go jako Net-Worm.Win32.Kolad.azgu (wczoraj pewnie też już tam był). Koniec historyjki.

 

No i teraz prośba do was o sprawdzenie logów na wypadek, gdyby te pliki były tylko czubkiem góry lodowej, bo jest bardzo możliwe, że coś głębiej siedzi i tylko tworzy te pliki.

 

OTL.Txt

Extras.Txt

 

[picasso]

Usunięcie pliku to nie była całość zadania, są wpisy uruchomieniowe infekcji w rejestrze, zwielokrotnione. Poza tym, jest jakiś podejrzany ukryty plik rzekomo od MS:

 

[2010-06-21 19:29:13 | 000,047,104 | RHS- | C] (Microsoft Corporation) -- C:\Users\Kacper\AppData\Roaming\update.dll

 

I wypowiedz się czy znasz te pliki / tworzyłeś je ręcznie:

 

[2012-02-10 00:21:06 | 000,000,000 | ---- | M] () -- C:\Users\Kacper\netsh
[2012-02-10 00:21:06 | 000,000,000 | ---- | M] () -- C:\Users\Kacper\net
[2012-02-10 00:21:05 | 000,000,000 | ---- | M] () -- C:\Users\Kacper\ping

 

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [HKLM] C:\Windows\system32\Windir\svchost.exe File not found
O4 - HKU\S-1-5-21-2579484255-3514611857-813696494-1000..\Run: [HKCU] C:\Windows\system32\Windir\svchost.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Windows\system32\Windir\svchost.exe
O7 - HKU\S-1-5-21-2579484255-3514611857-813696494-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Windows\system32\Windir\svchost.exe
O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
 
:Files
C:\Windows\system32\Windir
C:\Users\Kacper\AppData\Roaming\update.dll
C:\ProgramData\mxnhytee.feu
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Wykonaj nowy log OTL ma warunku dostosowanym, w sekcji Własne opcje skanowania / skrypt wklej:

 

hklm\Software\Microsoft\Active Setup\Installed Components|svchost.exe /RS

 

Klik w Skanuj (a nie Wykonaj skrypt!). Dołącz też log z wynikami usuwania z punktu 1.

 

 

 

 

.

[kasper93]

Szczerze mówią nie kojarzę tych plików, ale najprawdopodobniej sam jest stworzyłem wklepując coś tam w konsole. Natomiast dziwne, że są puste, tak samo jak te .mkv bo pewnie chciałem coś tam zapisać, ale widocznie to wyniki literówek w komendzie. Usunąłem te pliki.

 

Proszę oto logi:

03022012_180857.log

OTL.Txt

Extras.Txt

 

EDIT:

 

Mam jeszcze pytanie, od czego jest ten driver?

DRV - [2007-12-22 15:41:18 | 000,013,880 | ---- | M] (Zeal SoftStudio) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\zntport.sys -- (zntport)

[picasso]

Zgodnie z podejrzeniem, skan dostosowany ujawnił jeszcze jeden wpis od tego trojana:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{74736XL7-4565-1475-0NCX-W0TBEQ220064}\\StubPath: C:\Windows\system32\Windir\svchost.exe

 

Przy okazji, sprawdź czy cały katalog C:\Windows\SysWOW64\windir jest na pewno skasowany.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{74736XL7-4565-1475-0NCX-W0TBEQ220064}]

 

Klik w Wykonaj skrypt. Tym razem poleci bez restartu.

 

2. Na wszelki wypadek podaj nowy log z OTL na tym samym warunku co poprzednio, czyli w sekcji Własne opcje skanowania / skrypt wklej:

 

hklm\Software\Microsoft\Active Setup\Installed Components|svchost.exe /RS

 

Klik w Skanuj.

 

 

Mam jeszcze pytanie, od czego jest ten driver?

 

To sterownik dostępowy do portów: KLIK. Mogła go wprowadzić któraś aplikacja. Sterownik zresztą nie wygląda na natywnie 64-bitowy.

 

 

 

.

[kasper93]

Logi:

OTL.Txt

Extras.Txt

 

Przy okazji, sprawdź czy cały katalog C:\Windows\SysWOW64\windir jest na pewno skasowany.

Tak, nie ma już tego folderu folderów.

 

Dzięki wielkie za pomoc, bo chyba już tylko pozostało sprzątanie po OTL

[picasso]

Nie widzę już żadnych wpisów rejestru skorelowanych z tym trojanem, ale ominęłam plik Kacperlog.dat (on wygląda na związany z trojanem), zaś to co usuwałam ("C:\ProgramData\mxnhytee.feu moved successfully."), wróciło:

 

[2012-03-02 20:18:55 | 000,005,046 | ---- | M] () -- C:\ProgramData\mxnhytee.feu
[2012-03-02 01:51:00 | 000,004,335 | -H-- | M] () -- C:\Users\Kacper\AppData\Roaming\Kacperlog.dat

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\mxnhytee.feu
C:\Users\Kacper\AppData\Roaming\Kacperlog.dat

 

Klik w Wykonaj skrypt. Jeśli wykonanie skryptu nie zwróci żadnego błędu, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Obecność pliku "Kacperlog.dat" sugeruje prewencyjną wymianę haseł.

 

 

 

.

[kasper93]

Dziękuje. Oczywiście hasła zmienię, ale mam też nadzieje, że dużo danych nie wyszło "na zewnątrz".

Temat można zamknąć.

 

Pozdrawiam

 

EDIT:

Jeżeli chodzi o ten plik

[2012-03-02 20:18:55 | 000,005,046 | ---- | M] () -- C:\ProgramData\mxnhytee.feu

jest on tworzony podczas uruchamiania wersji testowej ProgDVB Pro i najprawdopodobniej ma związek właśnie z okresem testowym. W każdym bądź razie można uznać ten plik jako bezpieczny i jeżeli używamy ProgDVB to nie trzeba się nim przejmować.