matislord
(Matisleszno)
10 Marzec 2007 14:18
#1
Witam.
Wykryłem skanerem mks’u online trojana o nazwie ‘Trojan.CryptExe’
Pochodzi z pliku o rozszerzeniu .dll - Więc moje pytanie brzmi, czy pliki o tym rozszerzeniu mogą łączyć się z internetem i przekazać moje dane (w moim wypadku będzie to login oraz password.) osobie niepowołanej?
Z tego co troche wyczytałem, teoretycznie nie musi być to wirus, a execryptor - zabezpieczanie przed crakowaniem etc.
Istnieje jakiś sposób, aby ‘wyłączyć’ ewentualny ‘proces’ pomiędzy moim komputerem a osobą, która tego trojana podłożyła? (Oczywiście jeśli usunę/przemianuję/uaktywnię kwarantannę to aplikacja, w której jest robak przestanie działać, więc sposoby w/w odpadają)
Liczę na w miarę szybką odpowiedź, bo czasu mam coraz mniej. :]
jak masz firewalla, to nie pozwalasz na komunikację programu z internetem.
adam9870
(adam9870)
10 Marzec 2007 14:27
#3
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.
Pliki DLL mogą robić bardzo wiele rzeczy. Głównie dzięki temu, że niektóre procesy systemowe odpowiadają za uruchamianie tego typu plików. Przykładem może być łańcuszkowy trojan GG tworzony plik rpcc.dll, który powodował zapchanie łącza wysyłającymi mailami.
Ale podaj jaki konkretnie plik jest wyrywany jako szkodliwy i gdzie? Dodatkowo wklej komplet logów - HijackThis i SilentRunners:
http://forum.dobreprogramy.pl/viewtopic.php?t=36654
matislord
(Matisleszno)
10 Marzec 2007 17:48
#4
HijackThis:
[code]Logfile of HijackThis v1.99.1
Scan saved at 18:38:54, on 2007-03-10
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programy\Alwil Software\Avast4\aswUpdSv.exe
C:\Programy\Google\Gmail Notifier\gnotify.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\Mixer.exe
C:\Programy\DAEMON Tools\daemon.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Program Files\cFosSpeed\cFosSpeed.exe
C:\Programy\ALWILS~1\Avast4\ashDisp.exe
C:\Programy\Alwil Software\Avast4\ashServ.exe
C:\Programy\Konnekt\konnekt.exe
C:\Programy\CursorXP\CursorXP.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Xfire\xfire.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\cFosSpeed\spd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
C:\Programy\Alwil Software\Avast4\ashMaiSv.exe
C:\Programy\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programy\Winamp\winamp.exe
C:\WINDOWS\System32\svchost.exe
D:\GRY\Silkroad\sro_client.exe
C:\Programy\Mozilla Firefox\firefox.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Programy\WinRAR\WinRAR.exe
C:\DOCUME~1\SILKRO~1\USTAWI~1\Temp\Rar$EX00.359\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 61.129.82.68:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F3 - REG:win.ini: run=
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programy\FlashGet\jccatch.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programy\BitComet\tools\BitCometBHO.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\PROGRA~1\FREEDO~1\iefdmcks.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programy\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programy\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programy\Bearshare\BearShare.exe" /pause
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programy\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programy\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [avast!] C:\Programy\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [puredeafinfoclock] C:\Documents and Settings\All Users\Dane aplikacji\DEFAULTENCPUREDEAF\HEART NOUN.exe
O4 - HKCU\..\Run: [Konnekt] "C:\Programy\Konnekt\konnekt.exe" /autostart
O4 - HKCU\..\Run: [CursorXP] C:\Programy\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programy\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Platformfour] C:\DOCUME~1\SILKRO~1\DANEAP~1\LOGOHO~1\PART ROAM DEFY.exe
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\xfire.exe
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programy\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programy\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programy\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\Programy\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Programy\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Programy\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programy\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programy\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150898321673
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74A8D94E-DE7C-49CE-96D3-A3E8A4723DC9}: NameServer = 194.204.159.1,194.204.152.34
O20 - Winlogon Notify: WBSrv - C:\Programy\WINDOW~1\wbsrv.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programy\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programy\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programy\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programy\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Program Files\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
SilentRunners: “Silent Runners.vbs”, revision R50, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “Konnekt” = ““C:\Programy\Konnekt\konnekt.exe” /autostart” [“Stamina”] “CursorXP” = “C:\Programy\CursorXP\CursorXP.exe” [" "] “BitTorrent” = ““C:\Programy\BitTorrent\bittorrent.exe” --force_start_minimized” [null data] “PcSync” = “C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog” [“Time Information Services Ltd.”] “Platformfour” = “C:\DOCUME~1\SILKRO~1\DANEAP~1\LOGOHO~1\PART ROAM DEFY.exe” [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “NvCplDaemon” = “RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup” [MS] “nwiz” = “nwiz.exe /install” [“NVIDIA Corporation”] “NvMediaCenter” = “RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit” [MS] “{0228e555-4f9c-4e35-a3ec-b109a192b4c2}” = “C:\Programy\Google\Gmail Notifier\gnotify.exe” [“Google Inc.”] “SunJavaUpdateSched” = ““C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe”” [“Sun Microsystems, Inc.”] “QuickTime Task” = ““C:\Program Files\QuickTime\qttask.exe” -atboottime” [“Apple Computer, Inc.”] “NeroFilterCheck” = “C:\WINDOWS\system32\NeroCheck.exe” [“Ahead Software Gmbh”] “BearShare” = ““C:\Programy\Bearshare\BearShare.exe” /pause” [file not found] “C-Media Mixer” = “Mixer.exe /startup” [“C-Media Electronic Inc. (www.cmedia.com.tw)”] “Cmaudio” = “RunDll32 cmicnfg.cpl,CMICtrlWnd” [MS] “CloneCDTray” = ““C:\Programy\SlySoft\CloneCD\CloneCDTray.exe” /s” [“SlySoft, Inc.”] “DAEMON Tools” = ““C:\Programy\DAEMON Tools\daemon.exe” -lang 1033” [“DT Soft Ltd.”] “ISUSPM Startup” = ““C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe” -startup” [file not found] “ISUSScheduler” = ““C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe” -start” [“Macrovision Corporation”] “HPDJ Taskbar Utility” = “C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe” [“HP”] “PCSuiteTrayApplication” = “C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup” [“Nokia”] “cFosSpeed” = “C:\Program Files\cFosSpeed\cFosSpeed.exe” [“cFos Software GmbH”] “avast!” = “C:\Programy\ALWILS~1\Avast4\ashDisp.exe” [null data] “puredeafinfoclock” = “C:\Documents and Settings\All Users\Dane aplikacji\DEFAULTENCPUREDEAF\HEART NOUN.exe” [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {2F364306-AA45-47B5-9F9D-39A8B94E7EF7}(Default) = (no title provided) -> {HKLM…CLSID} = “IeCatch5 Class” \InProcServer32(Default) = “C:\Programy\FlashGet\jccatch.dll” [“FlashGet”] {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}(Default) = “BitComet ClickCapture” -> {HKLM…CLSID} = “BitComet Helper” \InProcServer32(Default) = “C:\Programy\BitComet\tools\BitCometBHO.dll” [“BitComet”] {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}(Default) = (no title provided) -> {HKLM…CLSID} = “Megaupload Toolbar” \InProcServer32(Default) = “C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL” [“MegaUpload”] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}(Default) = (no title provided) -> {HKLM…CLSID} = “SSVHelper Class” \InProcServer32(Default) = “C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll” [“Sun Microsystems, Inc.”] {CC59E0F9-7E43-44FA-9FAA-8377850BF205}(Default) = (no title provided) -> {HKLM…CLSID} = “FDMIECookiesBHO Class” \InProcServer32(Default) = “C:\PROGRA~1\FREEDO~1\iefdmcks.dll” [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”] Plik znajduję się w katalogu z pewną grą MMORPG - więc chodzi tutaj głównie o utrate konta. Lokalizacja mało ważna. Głównie chodzi mi o to, czy da się po prostu tego trojana wywalić/‘wyłączyć’ nie usuwając pliku .dll, w którym trojan jest.
adam9870
(adam9870)
10 Marzec 2007 19:25
#5
Masz adware Loop:
Foldery usuń ręcznie będąc w trybie awaryjnym natomiast wpisy HijackThis.
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.
Użyj narzędzia NoLop .
Po wykonaniu wklej nowe logi plus zawartość pliku c:\nolop.log. Tylko tym razem log z silenta ma być cały bo teraz jest ucięty.
matislord
(Matisleszno)
11 Marzec 2007 08:31
#6
@adam9870
Ok, fajnie. Ale nie zrozumiałeś mnie chyba.
Z pozostałymi wirusami sobie jakoś poradzę. Mi głównie po głowie chodzi pytanie, czy pomiędzy zakażonym plikiem z trojanem o rozszerzeniu .dll zachodzi komunikacja z innym komputerem, a jeśli istnieje, to czy da się je wyłączyć. :]
Ok, fajnie. Ale nie zrozumiałeś mnie chyba. Z pozostałymi wirusami sobie jakoś poradzę. Mi głównie po głowie chodzi pytanie, czy pomiędzy zakażonym plikiem z trojanem o rozszerzeniu .dll zachodzi komunikacja z innym komputerem, a jeśli istnieje, to czy da się je wyłączyć.
słuchaj w pliku DLL jest biblioteka funkcji, program może otworzyć bibliotekę i wykorzystać jakąś lub jakieś z niej funkcje.
Czy zachodzi komunikacja z innym komputerem… jeśli trojan podpiął się pod jakąś lub jakieś funkcje biblioteki, to program po załadowaniu biblioteki wykonuję wybraną funkcję razem z trojanem.
to czy jest komunikacja zależy tylko od trojana, po uruchomieniu może wykonywać co chce o ile uruchomiony program, wykorzystujący zarażoną bibliotekę, uruchomiony jest z prawami administratora.
Czy da się wyłączyć komunikację? Na firewallu, obsługującym połączenia wychodzące, czyli nie windowsowym (windowsowy blokuje tylko połączenia przychodzące), zablokuj komunikację programu, który wykorzystuje zarażoną bibliotekę, z internetem.