Trojan.Crypt, modyfikacja plików .ini

[cod3r]

Witam,

Dziś Comodo przyblokował mi próbę dostania się na komputer infekcji, dodał pliki do piaskownicy, więc działań infekcji za bardzo nie widać. Natomiast zauważyłem, po włączeniu opcji pokazywania ukrytych plików, jest kilka z nazwą desktop.ini z datą modyfikacji zbliżoną do daty blokowania infekcji. Na niektórych folderch wiszą też kłódeczki.

Np. na Documents and Settings. Czy usunięcie plików desktop.ini wystarczy? Comodo też zgłaszał próbę modyfikacji pliku hosts, ale to chyba była tylko próba bo plik hosts wygląda normalnie.

# Copyright © 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#	  102.54.94.97	 rhino.acme.com		  # source server
#	   38.25.63.10	 x.acme.com			  # x client host

# localhost name resolution is handled within DNS itself.
#	127.0.0.1	   localhost
#	::1			 localhost

 

Dołączam też logi z OTL i proszę o sprawdzenie czy coś pozostało lub dostało się jednak do komputera?

OTL.Txt

Extras.Txt

[picasso]

W logach z OTL brak oznak infekcji. Tylko nie wiem co to za pliki:

 

[2011-06-05 10:30:15 | 000,003,120 | ---- | C] () -- C:\windows\SysWow64\drivers\wdfhbjg.sys
[2011-03-07 02:49:15 | 000,003,120 | ---- | C] () -- C:\windows\SysWow64\drivers\wdfgfdc.sys
[2011-03-07 02:32:02 | 000,003,120 | ---- | C] () -- C:\windows\SysWow64\drivers\wdfgfce.sys

 

Natomiast są drobnostki adware-sponsoringowe, typu pdfforge (po PDF Creator), search.xml w Firefox i dodatkowe wyszukiwarki IE. Wygeneruj raport z AdwCleaner z opcji Search.

 

 

Dziś Comodo przyblokował mi próbę dostania się na komputer infekcji, dodał pliki do piaskownicy, więc działań infekcji za bardzo nie widać.

 

Przeklej ten wynik z raportu Comodo. Dokładną ścieżkę dostępu, bo nazwa zagrożenia to zbyt mało i o niczym nie świadczy.

 

 

Natomiast zauważyłem, po włączeniu opcji pokazywania ukrytych plików, jest kilka z nazwą desktop.ini z datą modyfikacji zbliżoną do daty blokowania infekcji.

 

Ale w jakich ścieżkach? Ukryte desktop.ini to są pliki nadające określone cechy folderom, takie jak polonizowana nazwa + specjalna ikona. Przykład: na polskim Windows 7 wyświetla się C:\Użytkownicy, to fałsz i nazwa wirtualizowana właśnie za pomocą desktop.ini, po usunięciu desktop.ini jest ujawniana prawdziwa nazwa C:\Users. Kolejny przykład: KLIK. I tak dalej ....

 

Są wprawdzie pewne pliki desktop.ini, które generować może infekcja, ale pliki te mają szczególne położenie, w folderach gdzie ich nie ma domyślnie. Toteż pytam o ścieżki dostępu tych "podejrzanych"...

 

 

Na niektórych folderch wiszą też kłódeczki.

Np. na Documents and Settings.

 

Wszystko w porządku, nie ruszać. To domyślne uprawnienia. Zaś Documents and settings to nie jest folder: KLIK.

 

 

Comodo też zgłaszał próbę modyfikacji pliku hosts, ale to chyba była tylko próba bo plik hosts wygląda normalnie.

 

To mi pokazuje OTL:

 

O1 HOSTS File: ([2009-06-10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts

 

Brak wyświetleń linii w pliku, podczas gdy waga większa niż zero = wszystko w pliku skomentowane znakami #. Na Windows 7 domyślnie plik HOSTS ma nieczynne wpisy obu protokołów, a reszta tekstu to śmieci bajkopisarskie.

 

 

 

.

[cod3r]

Zdarzenia antywirusa:

 

 

Zdarzenia Defense

 

Tutaj właśnie co do pliku hosts to się zasugerowałem tym wpisem, Modyfikacja pliku .

I dołączam log z AdwCleaner'a.

Jeszcze co do plików desktop.ini, były 2 na pulpicie z datą po infekcji i 2 w folderze C:\Users\marcin\Documents, ale poznikały już... Pewnie po czyszczeniu AdwCleanerem .

AdwCleanerR1.txt

[picasso]

Te zgłoszenia z Comodo wyglądają na realną próbę wdracia się infekcji. Jednak jak mówiłam, log z OTL nie wykazuje, by zaszły modyfikacje. AdwCleaner nie widzi wpisów, które mam na uwadze. Czyli lecimy ręcznie, przy okazji zadam i czyszczenie lokalizacji tymczasowych:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF"
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF"
IE - HKU\S-1-5-21-3588997498-3946416563-196430977-1001\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF"
IE - HKU\S-1-5-21-3588997498-3946416563-196430977-1001\..\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}: "URL" = "http://findgala.com/?&uid=5641&q={searchTerms}"
[2012-03-25 21:42:48 | 000,001,210 | ---- | M] () -- C:\Users\marcin\AppData\Roaming\Mozilla\Firefox\Profiles\as9dldmv.default\searchplugins\search.xml
[2012-03-11 17:24:32 | 000,000,000 | ---D | C] -- C:\Users\marcin\AppData\Roaming\pdfforge
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Wystarczy mi do oceny tylko log z wynikami usuwania.

 

 

Jeszcze co do plików desktop.ini, były 2 na pulpicie z datą po infekcji i 2 w folderze C:\Users\marcin\Documents, ale poznikały już... Pewnie po czyszczeniu AdwCleanerem

 

AdwCleaner nie ma tu żadnego związku. Pliki zapewne nie zniknęły, tylko opcje widoku się przestawiły. Cytuję:

 

 

Na Pulpicie Vista i 7 są zawsze dwa pliki desktop.ini, gdyż Pulpit widziany oczami to wirtualna przestrzeń składająca wspólnie w istocie widok dwóch rzeczywistych folderów Pulpitu zlokalizowanych na dysku twardym:

 

C:\Users\Konto użytkownika\Desktop

C:\Users\Public\Desktop

 

Domyślnie wszystkie pliki desktop.ini mają atrybuty HS (ukryty systemowy) i są usunięte z widoku. Tym zachowaniem steruje się przy udziale opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ujrzałeś nagle te pliki, bo uruchomiłeś OTL, który wpływa na rekonfigurację ustawień Widoku. Opcje wracają na miejsce, gdy w OTL użyje się funkcji Sprzątanie (stosowana tylko wtedy, gdy w OTL przepuszczano skrypt usuwający i jest po prostu co "sprzątać" = kwarantanna OTL). Lub, jak mówię, samemu sobie zmienić w opcjach.

 

W C:\Users\Konto\Documents też plik ma być. I w wielu innych specjalnych folderach. Gdyby któryś z tych plików zniknął, należałoby go odtworzyć.

 

 

 

.

[cod3r]

Nie wiem dlaczego nie mogę dodać załącznika. Wklejam poniżej treść loga po usuwaniu:

All processes killed
========== OTL ==========
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fa28606-de77-4029-af96-b231e3b8f827}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fa28606-de77-4029-af96-b231e3b8f827}\ not found.
Registry key HKEY_USERS\S-1-5-21-3588997498-3946416563-196430977-1001\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fa28606-de77-4029-af96-b231e3b8f827}\ not found.
Registry key HKEY_USERS\S-1-5-21-3588997498-3946416563-196430977-1001\Software\Microsoft\Internet Explorer\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}\ not found.
C:\Users\marcin\AppData\Roaming\Mozilla\Firefox\Profiles\as9dldmv.default\searchplugins\search.xml moved successfully.
C:\Users\marcin\AppData\Roaming\pdfforge\Images2PDF folder moved successfully.
C:\Users\marcin\AppData\Roaming\pdfforge folder moved successfully.
========== REGISTRY ==========
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: marcin
->Temp folder emptied: 116295420 bytes
->Temporary Internet Files folder emptied: 364931 bytes
->Java cache emptied: 26618 bytes
->FireFox cache emptied: 84844168 bytes
->Flash cache emptied: 917 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 29936 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50400 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 192,00 mb


OTL by OldTimer - Version 3.2.39.2 log created on 03252012_235900

Files\Folders moved on Reboot...
C:\Users\marcin\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

 

 

Co do desktop.ini to faktycznie są, aczkolwiek wcześniej widziałem je jak tylko włączyłem opcję pokazywania ukrytych plików. Teraz widać je dopiero jak się włączy pokazywanie ukrytych plików i odznaczy opcję Ukryj chronione pliki systemu operacyjnego. No ale, wszystko jest jak powinno teraz.

[picasso]

Zadanie wykonane.

 

1. Zastosuj w OTL Sprzątanie (to rekonfiguruje też opcje widokowe do domyślnych), albo w zamian przez SHIFT+DEL skasuj katalog C:\_OTL i sam program.

 

2. Wyczyść foldery Przywracania systemu (KLIK).

 

3. I zaktualizuj sobie te:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 27
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

 

Dla podkreślenia: to są 32-bitowe wersje Flash dla IE oraz Java. Tego Flasha to możesz od razu odinstalować w sposób całkowity.

 

 

Co do desktop.ini to faktycznie są, aczkolwiek wcześniej widziałem je jak tylko włączyłem opcję pokazywania ukrytych plików. Teraz widać je dopiero jak się włączy pokazywanie ukrytych plików i odznaczy opcję Ukryj chronione pliki systemu operacyjnego.

 

I to jest jak być powinno. Pliki mają atrybuty HS ("ukryty systemowy") a nie samo H ("ukryty").

 

 

Nie wiem dlaczego nie mogę dodać załącznika.

 

W Zasadach działu i Pomocy forum jest wyjaśnione, że w Załącznikach akceptuję tylko rozszerzenie *.TXT. To co próbujesz dołączać to *.LOG. Wystarczy zmiana nazwy pliku lub wkleić wprost do posta (log niezbyt obszerny).

 

 

 

.

[cod3r]

Dzięki za pomoc, temat do zamknięcia .