Trojan.CryptExe


(Matisleszno) #1

Witam.

Wykryłem skanerem mks'u online trojana o nazwie 'Trojan.CryptExe'

Pochodzi z pliku o rozszerzeniu .dll - Więc moje pytanie brzmi, czy pliki o tym rozszerzeniu mogą łączyć się z internetem i przekazać moje dane (w moim wypadku będzie to login oraz password.) osobie niepowołanej?

Z tego co troche wyczytałem, teoretycznie nie musi być to wirus, a execryptor - zabezpieczanie przed crakowaniem etc.

Istnieje jakiś sposób, aby 'wyłączyć' ewentualny 'proces' pomiędzy moim komputerem a osobą, która tego trojana podłożyła? (Oczywiście jeśli usunę/przemianuję/uaktywnię kwarantannę to aplikacja, w której jest robak przestanie działać, więc sposoby w/w odpadają)

Liczę na w miarę szybką odpowiedź, bo czasu mam coraz mniej. :]


(Grzegorz Ch) #2

jak masz firewalla, to nie pozwalasz na komunikację programu z internetem.


(adam9870) #3

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Pliki DLL mogą robić bardzo wiele rzeczy. Głównie dzięki temu, że niektóre procesy systemowe odpowiadają za uruchamianie tego typu plików. Przykładem może być łańcuszkowy trojan GG tworzony plik rpcc.dll, który powodował zapchanie łącza wysyłającymi mailami.

Ale podaj jaki konkretnie plik jest wyrywany jako szkodliwy i gdzie? Dodatkowo wklej komplet logów - HijackThis i SilentRunners:

http://forum.dobreprogramy.pl/viewtopic.php?t=36654


(Matisleszno) #4
HijackThis:


[code]Logfile of HijackThis v1.99.1

Scan saved at 18:38:54, on 2007-03-10

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programy\Alwil Software\Avast4\aswUpdSv.exe

C:\Programy\Google\Gmail Notifier\gnotify.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\Mixer.exe

C:\Programy\DAEMON Tools\daemon.exe

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\Program Files\cFosSpeed\cFosSpeed.exe

C:\Programy\ALWILS~1\Avast4\ashDisp.exe

C:\Programy\Alwil Software\Avast4\ashServ.exe

C:\Programy\Konnekt\konnekt.exe

C:\Programy\CursorXP\CursorXP.exe

C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Program Files\Xfire\xfire.exe

C:\Program Files\Internet Explorer\iexplore.exe

c:\progra~1\intern~1\iexplore.exe

C:\Program Files\cFosSpeed\spd.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe

C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

C:\Programy\Alwil Software\Avast4\ashMaiSv.exe

C:\Programy\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Programy\Winamp\winamp.exe

C:\WINDOWS\System32\svchost.exe

D:\GRY\Silkroad\sro_client.exe

C:\Programy\Mozilla Firefox\firefox.exe

C:\PROGRA~1\FREEDO~1\fdm.exe

C:\Programy\WinRAR\WinRAR.exe

C:\DOCUME~1\SILKRO~1\USTAWI~1\Temp\Rar$EX00.359\HijackThis.exe


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 61.129.82.68:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F3 - REG:win.ini: run= 

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programy\FlashGet\jccatch.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programy\BitComet\tools\BitCometBHO.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\PROGRA~1\FREEDO~1\iefdmcks.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programy\FlashGet\fgiebar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programy\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [BearShare] "C:\Programy\Bearshare\BearShare.exe" /pause

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programy\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programy\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe

O4 - HKLM\..\Run: [avast!] C:\Programy\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [puredeafinfoclock] C:\Documents and Settings\All Users\Dane aplikacji\DEFAULTENCPUREDEAF\HEART NOUN.exe

O4 - HKCU\..\Run: [Konnekt] "C:\Programy\Konnekt\konnekt.exe" /autostart

O4 - HKCU\..\Run: [CursorXP] C:\Programy\CursorXP\CursorXP.exe

O4 - HKCU\..\Run: [BitTorrent] "C:\Programy\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [Platformfour] C:\DOCUME~1\SILKRO~1\DANEAP~1\LOGOHO~1\PART ROAM DEFY.exe

O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\xfire.exe

O8 - Extra context menu item: Download all links using BitComet - res://C:\Programy\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programy\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Programy\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\Programy\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Programy\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Programy\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programy\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programy\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150898321673

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{74A8D94E-DE7C-49CE-96D3-A3E8A4723DC9}: NameServer = 194.204.159.1,194.204.152.34

O20 - Winlogon Notify: WBSrv - C:\Programy\WINDOW~1\wbsrv.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programy\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programy\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programy\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Programy\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Program Files\cFosSpeed\spd.exe" -service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

SilentRunners: "Silent Runners.vbs", revision R50, http://www.silentrunners.org/Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "Konnekt" = ""C:\Programy\Konnekt\konnekt.exe" /autostart" ["Stamina"] "CursorXP" = "C:\Programy\CursorXP\CursorXP.exe" [" "] "BitTorrent" = ""C:\Programy\BitTorrent\bittorrent.exe" --force_start_minimized" [null data] "PcSync" = "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog" ["Time Information Services Ltd."] "Platformfour" = "C:\DOCUME~1\SILKRO~1\DANEAP~1\LOGOHO~1\PART ROAM DEFY.exe" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS] "{0228e555-4f9c-4e35-a3ec-b109a192b4c2}" = "C:\Programy\Google\Gmail Notifier\gnotify.exe" ["Google Inc."] "SunJavaUpdateSched" = ""C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"" ["Sun Microsystems, Inc."] "QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "BearShare" = ""C:\Programy\Bearshare\BearShare.exe" /pause" [file not found] "C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"] "Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS] "CloneCDTray" = ""C:\Programy\SlySoft\CloneCD\CloneCDTray.exe" /s" ["SlySoft, Inc."] "DAEMON Tools" = ""C:\Programy\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."] "ISUSPM Startup" = ""C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup" [file not found] "ISUSScheduler" = ""C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start" ["Macrovision Corporation"] "HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe" ["HP"] "PCSuiteTrayApplication" = "C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup" ["Nokia"] "cFosSpeed" = "C:\Program Files\cFosSpeed\cFosSpeed.exe" ["cFos Software GmbH"] "avast!" = "C:\Programy\ALWILS~1\Avast4\ashDisp.exe" [null data] "puredeafinfoclock" = "C:\Documents and Settings\All Users\Dane aplikacji\DEFAULTENCPUREDEAF\HEART NOUN.exe" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {2F364306-AA45-47B5-9F9D-39A8B94E7EF7}(Default) = (no title provided) -> {HKLM...CLSID} = "IeCatch5 Class" \InProcServer32(Default) = "C:\Programy\FlashGet\jccatch.dll" ["FlashGet"] {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}(Default) = "BitComet ClickCapture" -> {HKLM...CLSID} = "BitComet Helper" \InProcServer32(Default) = "C:\Programy\BitComet\tools\BitCometBHO.dll" ["BitComet"] {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}(Default) = (no title provided) -> {HKLM...CLSID} = "Megaupload Toolbar" \InProcServer32(Default) = "C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL" ["MegaUpload"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32(Default) = "C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll" ["Sun Microsystems, Inc."] {CC59E0F9-7E43-44FA-9FAA-8377850BF205}(Default) = (no title provided) -> {HKLM...CLSID} = "FDMIECookiesBHO Class" \InProcServer32(Default) = "C:\PROGRA~1\FREEDO~1\iefdmcks.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania" -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania" \InProcServer32(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] Plik znajduję się w katalogu z pewną grą MMORPG - więc chodzi tutaj głównie o utrate konta. Lokalizacja mało ważna. Głównie chodzi mi o to, czy da się po prostu tego trojana wywalić/'wyłączyć' nie usuwając pliku .dll, w którym trojan jest.


(adam9870) #5

Masz adware Loop:

Foldery usuń ręcznie będąc w trybie awaryjnym natomiast wpisy HijackThis.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Użyj narzędzia NoLop.

Po wykonaniu wklej nowe logi plus zawartość pliku c:\nolop.log. Tylko tym razem log z silenta ma być cały bo teraz jest ucięty.


(Matisleszno) #6

@adam9870

Ok, fajnie. Ale nie zrozumiałeś mnie chyba.

Z pozostałymi wirusami sobie jakoś poradzę. Mi głównie po głowie chodzi pytanie, czy pomiędzy zakażonym plikiem z trojanem o rozszerzeniu .dll zachodzi komunikacja z innym komputerem, a jeśli istnieje, to czy da się je wyłączyć. :]


(Grzegorz Ch) #7

słuchaj w pliku DLL jest biblioteka funkcji, program może otworzyć bibliotekę i wykorzystać jakąś lub jakieś z niej funkcje.

Czy zachodzi komunikacja z innym komputerem... jeśli trojan podpiął się pod jakąś lub jakieś funkcje biblioteki, to program po załadowaniu biblioteki wykonuję wybraną funkcję razem z trojanem.

to czy jest komunikacja zależy tylko od trojana, po uruchomieniu może wykonywać co chce o ile uruchomiony program, wykorzystujący zarażoną bibliotekę, uruchomiony jest z prawami administratora.

Czy da się wyłączyć komunikację? Na firewallu, obsługującym połączenia wychodzące, czyli nie windowsowym (windowsowy blokuje tylko połączenia przychodzące), zablokuj komunikację programu, który wykorzystuje zarażoną bibliotekę, z internetem.