Wirusy: copy.exe, host.exe

[mic3hal]

Witam, nowo zainstalowany system i już wirusy. Nie zdąrzyłem wyłączyć autorunów w rejestrze i się nadziałem. Proszę o pomoc. To log z komputera w pracy. W domu prawdopodobnie mam to samo. W pracy komputer 64bit, więc wklejam tylko OTL. W domu mam 32bitowy.

OTL:
http://www.wklej.org/id/456792/
Extras:
http://www.wklej.org/id/456796/

[wojtas]

Przy podpiętym urządzeniu przenośnym (pendrive, telefon - to co jest podłączane do kompa) , uruchom USBFIX z opcji Listing i pokaż raport na forum.

[mic3hal]

Mam też jeden niezarażony komputer, na którym w totalcomanderze widzę, że są tam pliki:
copy.exe, host.exe, autorun.inf
Niestety usunąłem te pliki z pendrive'a. Wyłączyłem do tego autorun z wszystkich dysków i dodałem w rejestrze klucz który mówi, że pliki autorun.inf nie będą przez system widziane (znalazłem taki myk gdzieś w necie). Mogę w sumie to cofnąć, ale czy ten USBFIX pójdzie na systemie 64bit? Bo zwykle to puszczałem combofixa i było po sprawie. Na 64bit combofix nie działa.

[wojtas]

pójdzie najlepiej z każdego kompa daj w/w logi bo ta infekcja może się przenosić

[mic3hal]

Więc sprawa wygląda tak, że mając dostęp do wszystkich 3ech komputerów isprawdziłem wszystkie i zarażony jest tylko ten 64 bitowy. Wszędzie jest wyłączony autorun w rejestrze i na pendrive zgrywają się te wirusy tylko z tego jednego komputera. Oto skan pendrive'a włożonego do zarażonego komputera 64 bit. Zaraz dodam skany z 32 bitowego komputera z domu, ale tam raczej nic nie będzie. Ktoś mnie musiał w pracy zarazić, jak autorun nie był wyłączony w rejestrze.

Kod: Zaznacz wszystko

############################## | UsbFix 7.038 | [Research]

User: Administrator (Administrator) # RJ-KIWDJJFWPLCN [System manufacturer System Product Name]
Updated 14/01/2011 by El Desaparecido / C_XX
Started at 11:07:08 | 17/01/2011
Website: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Pentium(R) Dual-Core CPU E5300 @ 2.60GHz
CPU 2: Pentium(R) Dual-Core CPU E5300 @ 2.60GHz
Microsoft(R) Windows(R) XP Professional x64 Edition (5.2.3790 64-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18702

Windows Firewall: Enabled
RAM -> 2047 Mb
C:\ (%systemdrive%) -> Fixed drive # 488 Gb (468 Mb free - 96%) [] # NTFS
D:\ -> Fixed drive # 443 Gb (426 Mb free - 96%) [] # NTFS
E:\ -> CD-ROM
K:\ -> Removable drive # 15 Gb (15 Mb free - 100%) [KINGSTON] # FAT32

################## | Files # Infected Folders |


Found ! C:\Program Files (x86)\System
Found ! C:\WINDOWS\SysWOW64\temp1.exe
Found ! C:\WINDOWS\SysWOW64\temp2.exe
Found ! C:\WINDOWS\autorun.inf
Found ! C:\WINDOWS\svchost.exe
Found ! C:\WINDOWS\xcopy.exe
Found ! C:\autorun.inf
Found ! C:\copy.exe
Found ! C:\host.exe
Found ! D:\autorun.inf
Found ! D:\copy.exe
Found ! D:\host.exe
Found ! K:\autorun.inf
Found ! K:\copy.exe
Found ! K:\host.exe

################## | Registry |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{450a5d6e-1a52-11e0-9640-002618ed2688}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{98e495e1-1f2f-11e0-9a27-002618ed2688}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{bf0546e4-1fbe-11e0-b09f-002618ed2688}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe


################## | Vaccin |

C:\Autorun.inf -> Folder created by Panda USB Vaccine
D:\Autorun.inf -> Folder created by Panda USB Vaccine
K:\Autorun.inf -> Folder created by Panda USB Vaccine

################## | E.O.F |

komputer 32 bit z domu GMER:

Kod: Zaznacz wszystko

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-01-17 12:13:32
Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Scsi\nvgts1Port2Path1Target1Lun0 ST325062 rev.3.AA
Running: 84dzwwzi.exe; Driver: C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\kxroipob.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwClose [0xEB1D96B8]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwCreateKey [0xEB1D9574]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwDeleteValueKey [0xEB1D9A52]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwDuplicateObject [0xEB1D914C]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenKey [0xEB1D964E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenProcess [0xEB1D908C]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenThread [0xEB1D90F0]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwQueryValueKey [0xEB1D976E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwRestoreKey [0xEB1D972E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwSetValueKey [0xEB1D98AE]

Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwCreateProcessEx [0xEB1E282E]
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwCreateSection [0xEB1E2678]
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwLoadDriver [0xEB1E27AC]
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         NtCreateSection

---- Kernel code sections - GMER 1.0.15 ----

PAGE            ntkrnlpa.exe!ZwLoadDriver                                                                                     805795FA 7 Bytes  JMP EB1E27B0 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE            ntkrnlpa.exe!NtCreateSection                                                                                  805A075C 7 Bytes  JMP EB1E267C \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE            ntkrnlpa.exe!ZwCreateProcessEx                                                                                805C73EA 7 Bytes  JMP EB1E2832 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                      section is writeable [0xF6658360, 0x30AF87, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Mozilla Firefox\firefox.exe[3136] ntdll.dll!LdrLoadDll                                       7C9163C3 5 Bytes  JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
.text           C:\Program Files\Mozilla Firefox\plugin-container.exe[3292] USER32.dll!TrackPopupMenu                         7E3B531E 5 Bytes  JMP 10402342 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\services.exe[724] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]  003D0002
IAT             C:\WINDOWS\system32\services.exe[724] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]        003D0000

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                        aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                        aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device          \FileSystem\Fastfat \FatCdrom                                                                                 aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                      aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                   aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \FileSystem\Fastfat \Fat                                                                                      aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                      fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                      aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- EOF - GMER 1.0.15 ----


komputer 32 bit z domu OTL:

http://www.wklej.org/id/458552/

plik Extras się nie wygenerował.

dodatkowo na tym komputerze jest multum folderów i jakichś logów nie wiem skąd one są.

http://img708.imageshack.us/img708/5751/dyskc.png

[wojtas]

64 bit:
przy podpiętym urządzeniu :
Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:Processes
killallprocesses

:Files
C:\Program Files (x86)\System
C:\WINDOWS\SysWOW64\temp1.exe
C:\WINDOWS\SysWOW64\temp2.exe
C:\WINDOWS\autorun.inf
C:\WINDOWS\svchost.exe
C:\WINDOWS\xcopy.exe
C:\autorun.inf
C:\copy.exe
C:\host.exe
D:\autorun.inf
D:\copy.exe
D:\host.exe
K:\autorun.inf
K:\copy.exe
K:\host.exe

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[emptyflash]
[clearallrestorepoints]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).

32 bit:

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKU\S-1-5-21-1214440339-606747145-839522115-500..\Run: [T7Starter] File not found
O4 - HKLM..\RunOnce: [] File not found
O33 - MountPoints2\{d3ad6880-4576-11df-b37e-001d92fc9575}\Shell\AutoRun\command - "" = s1.exe
O33 - MountPoints2\{d3ad6880-4576-11df-b37e-001d92fc9575}\Shell\open\Command - "" = s1.exe

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[emptyflash]
[clearallrestorepoints]

Kliknij wykonaj skrypt. I potwierdź reset komputera . zrób aktualizację avasta do numerku 5 ..

plik Extras się nie wygenerował.

bo nie zaznaczyłeś rejestr dodatkowy - użyj filtrowania...

dodatkowo na tym komputerze jest multum folderów i jakichś logów nie wiem skąd one są.

są to pliki od aktualizacji kompa...

Autor postu otrzymał pochwałę

[mic3hal]

wielkie dzięki. Nie wiedziałem że na 32 bit coś jest.