PCTuning fórum

Nemate nekdo zkusenost s timhle parchantem ? Je to typickej soubor viru oznacovanyho jako 'TrojanAgent'. Sice neni problem se toho zbavit vhodnym antivirem ale asi po 5 dnech mi vzdycky po zapnuti vyskoci varovna tabulka a je tam zas prestoze celou tu dobu je comp cistej a mam zapnutej firewall i antivir, jako by se ten hajzl zneviditelnil a nekde schoval, takze mam obavy ze by nepomohlo ani formatovani HDD...

zformátování HDD je absolutním řešením - pokud proběhne korektní formát včetně MBR i bootsektoru, což obvykle ano. vir (trojan, atd.) je jen program a musí se někam ukládat. přišel mi do firmy magor, který tvrdil že to pořád dokola formátuje ale ten vir tam pořád je, že se asi drží ve videopaměti nebo co takže to ne. ten vir musíš nějak chytit.
v tomhle případě se tam zřejmě nějak opakovaně dostává - jestli je firewall zapnutej nemusí znamenat bezpečí, musí bejt pořádně nastavenej, aktualizovanej, a nesmí obsahovat bezpečnostní díru kterou šmejd zná. to samé platí o antiviru - nainstalovaný antivir neznamená automaticky bezpečí.

"varovná tabulka" znamená co? tabulka v excelu? nebo to je okno? co je v něm napsáno? jestli to je hláška antiviru že to chytil a přesunul do karantény, pak je to v pořádku, ale i tak je třeba se zamyslet jak se tam ten krám dostane. cest může být nespočet, nejsnáz to jde přes cracky a warez.

doporučoval bych sken Combofixem, Spybotem, a proklepnout disk Rootkit Revealerem - rootkit je maskovací technika, která opravdu dovede zneviditelnit soubory (na formát je ovšem krátká, takže rootkit zformátování nepřežije).

Tou tabulkou myslim okno systemu kde je uvedeno ze doslo k poskozeni dulezitych souboru, at vlozim instalacni CD s XP-SP3 (firewall v ty chvili jeste nehlasi nic). Kdyz kliknu na OK nebo Storno nebo neudelam nic, po chvili se vzdycky vypne PC. Teprve kdyz to znova zapnu, tak uz firewall hlasi ze soubor (myslim 'userinit.exe' nebo tak nejak) se pokousi zmocnit systemovych prostredku. Kdyz to pochopitelne zakazu tak vsechno bezi normalne az do dalsiho restartu. Za tohohle stavu spustim scan antiviru (zkousel jsem jich vic) kterej najde asi 5-6 nakazenenejch souboru ktery odstrani a je pokoj. Pak ale prijde 5.den kdy zapnu PC a je to zase ta sama pisnicka jako na zacatku.
Vypada to jakoby se spoustel od hodin, to by ale musel celou tu dobu neviditelne bezet a kontrolovat cas coz si neumim predstavit jak protoze antivir ani firewall v ty dobe nic nenajdou.
Jinak diky za tipy...

jo takže to je šmejd napadající systémové soubory používané při přihlášení uživatele. jak dopadl sken tím co jsem doporučil nahoře?

Tak jsem to nejakou dobu sledoval a skutecne se znovu objevi vzdycky po zapnuti presne 6.den po dostraneni antivirem. Celou dobu mezi tim je to cisty, RootkitRevealer, ComboFix, Hijack, AVG s Anti-Rootkitem atd. nic podezrelyho nenajdou. Pak to ale najde kazdy antivir, vzdycky se objevi tyhle soubory na ktery je v registrech odkaz ve slozce \Run:

"C:\WINDOWS\Temp\CSRSS.EXE";"Trojský kůň Downloader.Generic8.NR"
"C:\WINDOWS\Temp\msi.exe";"TrojskýkůňPSW.Generic6.BBMT"
"C:\WINDOWS\Temp\rundll32.exe";"Trojský kůň SHeur2.QGV"
"C:\WINDOWS\Temp\System.exe";"Trojský kůň SHeur2.PWN"
"C:\WINDOWS\Temp\systray.exe";"Trojský kůň Downloader.Agent2.AXO"
"C:\WINDOWS\Temp\iexplore.exe"

Jsou to vlastne kopie systemovych souboru (az na to chybejici 'r' na konci u 'iexplore'). Zajimavy ze ten 'wowfx.dll' v \system32\ uz v seznamu infekci chybi protoze jsem to asi ochcal tak ze jsem vytvoril prazdnej textovej soubor se stejnym jmenem takze ten parchant si mysli ze uz tam je a nevytvori ho znovu a nemuze se tim padem plne reaktivovat. Presto ale ta skryta spousteci cast tam furt nekde musi bejt, coz je naprosta zahada protoze celou dobu od smazani se zadny skryty soubory ani viry nenajdou...

iexplore.exe nemá r ani když to je legitimní systémový soubor, to jen tak pro pořádek. a ano, někde to tam visí. čili, musí se tam dostat nějakou dírou v zabezpečení, nebo tam pořád je a nedaří se ti to zničit. napadá mě leda vyzkoušet pustit nějaký sledovací software a zjistit který proces tyhle soubory vytváří. a vůbec, dej sem výpis HijackThis.

Na vypisu Hijacku nic podezrelyho nevidim, tohle je ovsem v 'obdobi klidu'. Jakmile se hajzl aktivuje, pribudou tam pod O4 odkazy na vyse uvedeny infikovany soubory a pod O20 odkaz na ten <wowfx.dll>. Potom uz firewall hlasi pokus o systemove prostredky od techto souboru. Nejdriv se ale musi nejak spustit proces kterej ty soubory vytvori a to firewall nehlasi coz mi hlava nebere...

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG8\avgam.exe
C:\PROGRA~1\AVG8\avgrsx.exe
C:\PROGRA~1\AVG8\avgnsx.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\RivaTuner224\RivaTuner.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\AVG8\avgtray.exe
D:\totalcmd\TOTALCMD.EXE
C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriver.exe
D:\Hijack\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.servis24.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner224\RivaTuner.exe" /S
O4 - HKLM\..\Run: [RivaTuner] "C:\Program Files\RivaTuner224\RivaTuner.exe" /T
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG8\avgtray.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: AutorunsDisabled
O8 - Extra context menu item: + &Download Express: download this file - C:\Program Files\Download Express\Add_Url.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F46584B-D297-463F-BF25-403A8222EBD4}: NameServer = 192.168.1.1
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O18 - Filter: AutorunsDisabled - (no CLSID) - (no file)
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG8\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 0: (no name) - (no file)

nojo to vypadá čistě. co vykopat AVG a zkusit sken třeba NOD32?

zombux píše:přišel mi do firmy magor, který tvrdil že to pořád dokola formátuje ale ten vir tam pořád je, že se asi drží ve videopaměti nebo co takže to ne. ten vir musíš nějak chytit.

A kam se teda ten vir ukladal? do RAM? ja myslel ze kdyz mam vira a nevim jak na to, tak zformartuju HDD a nema sanci, pokud to pak nejde, tak tzn. ze je v RAM, ale ze by i po formatu disku zustaval na disku?????????

samozřejmě že ne. vir se může držet jen na disku - nikde jinde. a po formátu a nové instalaci systému je pryč, nemá šanci.

Tak jsem nabootoval z DVD (Chip 5/09) s Linuxem a Avastem kterej nasel jedinou vec - vir Ricsi-831 v <pagefile.sys>. Nechal jsem ho teda smazat, pak jeste jednou projet a bylo to cisty. Pak zpatky do Win a znovu dukladnej test celyho systemu pres NOD32. Ani tam nic nebylo. Rek jsem si fajn, konecne je ten humus pryc. Jenze... druhej den (zas ten 6. od minulyho smazani nakazanejch souboru) zapnu PC a je to tam zas !
Rezidentni kontrola NODu ani FW nehlasily vubec nic, jen opet system ze ma poskozeny soubory nacez nasledovalo automaticky vypnuti.
Nabootoval jsem znovu z toho DVD kterej tentokrat hlasil uz ne vir v pagefile ale zase u tech systemovejch souboru co jsem uz tady uvedl vyse. V Hijacku je akorat videt navic oproti minule zaznam v registrech kterej na ne ukazuje:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NOD32\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\RivaTuner224\RivaTuner.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ZoneAlarm\zlclient.exe
C:\Program Files\NOD32\egui.exe
D:\totalcmd\TOTALCMD.EXE
D:\Hijack\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.servis24.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner224\RivaTuner.exe" /S
O4 - HKLM\..\Run: [RivaTuner] "C:\Program Files\RivaTuner224\RivaTuner.exe" /T
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\NOD32\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Windows System Update] C:\WINDOWS\TEMP\CSRSS.EXE
O4 - HKLM\..\Run: [Windows Updater] C:\WINDOWS\TEMP\System.exe
O4 - HKLM\..\Run: [Language_Shortcut] C:\WINDOWS\TEMP\IEXPLORE.EXE
O4 - HKLM\..\Run: [SYSTRAY_UPDATE] C:\WINDOWS\TEMP\systray.exe
O4 - HKLM\..\Run: [RUNDLL32] C:\WINDOWS\TEMP\rundll32.exe
O4 - HKLM\..\Run: [Microsoft Security Interface] C:\WINDOWS\TEMP\msi.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: AutorunsDisabled
O8 - Extra context menu item: + &Download Express: download this file - C:\Program Files\Download Express\Add_Url.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F46584B-D297-463F-BF25-403A8222EBD4}: NameServer = 192.168.1.1
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O18 - Filter: AutorunsDisabled - (no CLSID) - (no file)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\NOD32\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\NOD32\ekrn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: (no name) - (no file)

Zatim jsem jeste nic nemazal a zdanlive se nic zvlastniho nedeje. Divny ale je ze rezident NODu ani FW vubec nezaregistrovali vytvoreni novejch souboru a zaznamu v registrech. Jakoby se to spustilo uplne prvni a zabranilo to tak svoji detekci. To znamena ze nekde musi porad bejt neco schovanyho co nejde nijak odhalit a co se vzdycky znovu aktivuje po zapnuti 6.den od vycisteni veskery infekce.
Zacinam uz pomalu verit ze skutecne nepomuze ani ten format HDD protoze je schovanej nekde jinde. Mimochodem nemoh by bejt ve Flash BIOSu ?

zkus kouknout sem:
http://forums.whatthetech.com/wowfx_dll ... 87427.html

v biosu to může být těžko, takhle komplexní malware by se tam IMHO nevešel. spíš je někde díra v zabezpečení, skrz kterou se to tam furt vrací. a nebo tam instaluješ nějaký software který považuješ za bezpečný ale ten malware se tam instaluje s tím

zhor píše: O4 - HKLM\..\Run: [Windows System Update] C:\WINDOWS\TEMP\CSRSS.EXE
O4 - HKLM\..\Run: [Windows Updater] C:\WINDOWS\TEMP\System.exe
O4 - HKLM\..\Run: [Language_Shortcut] C:\WINDOWS\TEMP\IEXPLORE.EXE
O4 - HKLM\..\Run: [SYSTRAY_UPDATE] C:\WINDOWS\TEMP\systray.exe
O4 - HKLM\..\Run: [RUNDLL32] C:\WINDOWS\TEMP\rundll32.exe
O4 - HKLM\..\Run: [Microsoft Security Interface] C:\WINDOWS\TEMP\msi.exe

Smazat

Proscanuj to AVP Tool.

Takze uz jsem se toho parchanta (doufam) zbavil. Pomohl mi v tom Avast i kdyz neprimo. Nastavil jsem v nem blokovani zapisu pro vsechny EXE a DLL, potom posunul cas o 6 dnu dopredu a vypnul/zapnul PC. Pri nabehu plochy pak doslo k totalnimu zamrznuti systemu takze tvrdej restart a naslednej boot z CD do izolovanyho OS. V nem pak antivir nasel navic dalsi dva nakazeny soubory oproti uz uvedenym, s nesmyslnymi nazvy a priponami .dll a .tmp ktery predtim nebyly videt. Vsechno jsem to smazal vcetne zaznamu v registrech a po nabehu do normalniho OS uz to bylo cisty a nic se nedelo i kdyz jsem posunul cas o 6 dnu.
Z toho je videt zpusob cinnosti toho hajzla (zrejme Win32/Agent) - jednou za 6 dni se po zapnuti PC odhali a vyprdne svoje otraveny larvy v podobe nakazenych kopii systemovych souboru a zaznamu v registrech, nacez se zase zakukli a necha je delat spinavou praci. Pokud je nekdo smaze, provede do 6-ti dnu znovu to samy. Tim ze se aktivuje v ranny fazi nabehu OS, dokaze se zneviditelnit pred kazdym antivirem.
Kdyz narazil na blok Avastu, doslo zrejme k zamrznuti vsech procesu a nestacil se uz schovat takze z paralelniho OS zustal viditelnej. Akorat mi neni jasny proc z nej nebyl videt uz predtim kdyz pri bootu OS z CD jsou prece vsechny soubory na HDD jen mrtvy brouci ktery nemuzou delat nic.
Zneklidnuje me jen ze nemam tuchy jak se tam moh dostat, maily ctu jen jako text a kazdej stahnutej soubor pred otevrenim skenuju antivirem i kdyz jeho rezident mam vypnutej aby nebrzdil chod systemu, navic FW hlida pristupy k systemovym prostredkum...

Jeste by me zajimalo i z obecnyho hlediska jestli je normalni aby nejakej proces potichu zapisoval do urcitych <.exe> nebo <.dll> souboru. Mam zatim v Avastu zapnuty to blokovani zapisu a obcas vyskoci pozadavek na zapis treba do <nvsvc32.exe> nebo <services.exe> v adresari \win\system32\. Podle mne je to nesmysl, <.exe> soubory ma snad vyznam prepisovat jen behem updatovani SW a to prece nemuze probihat potichu (zadny tichy autoupdaty nemam povoleny) !

zjisti si které procesy to zkoušejí. úplně standardní chování to samozřejmě není.

Zjistil jsem ze se to objevi vzdycky tak do 3-5 minut potom co zapnu napajeni HW routeru aniz by byla spustena nejaka aplikace a jiny PC v mistni siti neni zapnuty. Fakt je ze ten Avast blokuje u souboru 'otevreni pro zapis', t. zn. ze hlaska vyskoci nejen pri prepsani ale i pri kopirovani souboru. Stejne ale nechapu proc neco chce prepsat/kopirovat zrovna tyhle dva soubory. Jeden je casti ovladacu Nvidia a druhej systemovy instalace. V ty hlasce Avastu neni uvedeno kterej proces to dela ale zrejme to ma souvislost s tim jak zacnou behat pakety po siti...

Tak uz se ten hajzl zase probudil. Skoro mesic byl klid, pak jsem to jednoho dne zapnul a pri nabehu plochy Avast hlasil pokus o zapis do systemovych souboru a vzapeti ze je virus v pameti a bude se restartovat system. Pri restartu zacal Avast scanovat disky, nasel asi tri nakazeny soubory (udajne vir MoPack) ktery jsem nechal smazat a zase je klid. Vsim jsem si jeste ze pokazdym odstraneni viru zustane v Program Files adresar 'altcmd' kterej si zrejme sam vytvori a v nem dva soubory ktery ale nejsou nakazeny. Jelikoz se vir zaktivuje po tydnu uplnyho vypnuti napajeni, znamena to ze celou tu dobu musi bejt nekde na HDD nebo v Biosu a to v takovy forme ze ho nenajde zadnej dosud znamej antivir coz me docela desi.
Nejhorsi je ze uz si na nej pomalu zacinam zvykat - proste pravidelna udrzba a zas je na cas klid...