Sve je pocelo pre tri dana mojim navaljivanjem da Eset Smart 3.0.669 sa poslednjim definicijama, omoguci pokretanje izvesnog patcha (NoPE.exe, velicine 1708429 bajta) koga je uporno prijavljivao kao "probably a variant of Win32/Agent trojan".
"Ma nema pojma Nod", pomislih ja i privremeno iskljucih zastitu te pokrenuh prog. Naravno, apsolutno nista se nije desilo pa izbrisah doticni fajl, ukljucih zastitu i konektovah se na net da trazim "other solution".
Tada pocinje zezanje: Esetov HTTP filter blokira vezu sa sajtom
Kod:
http://funtarget.com/td1.exe
i prijavljuje td1.exe kao "Win32/Agent.TVY trojan" koga je pokusao da dl-uje Local Settings\Temp\dkf.exe. Zatim je obrisan i iz kesa (Local Settings\Temporary Internet Files\Content.IE5\JZPG60YG\td1[1].exe).
Nakon ovoga HTTP filter opet javlja upad i to sa
Kod:
http://www.matelab.com/newsys.exe
kao i da su u pitanju "multiple threats" a potom brise Application Data\Microsoft\dtsc\t.exe (mozete misliti opet, Win32/Agent.TVY trojan
).
"Nista strasno ni novo", opet pogresih u proceni: iskljucih System Restore, podesih Esetov firewall na interactive mode, pobrisah sve predefinisane polise i pokrenuh mali command based downloader Url2file kako bih zaobisao browser i skinuo poslednje dopune za Malwarebyte i Spybot...
Ovaj prvi nalazi i uspesno cisti:
Citat:
Memory Processes Infected:
C:\Documents and Settings\user\Application Data\Microsoft\dtsc\31420.exe (Trojan.Agent)
|
Citat:
Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager)
|
Citat:
Folders Infected:
C:\Documents and Settings\user\Application Data\Microsoft\dtsc (Trojan.Agent)
|
Citat:
Files Infected:
C:\Documents and Settings\user\Application Data\Microsoft\dtsc\31420.exe (Trojan.Agent) -> Delete on reboot.
C:\Documents and Settings\user\Application Data\Microsoft\dtsc\s (Trojan.Agent)
|
Spybot (zasada) ne nalazi nista...
Potom resetujem masinu ali TaskManager je i dalje "disabled by administrator" a onda hladan tus!
MB na ponovnom skeniranju javlja i cisti:
Citat:
Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Desktop)
|
Citat:
Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager)
|
Citat:
Files Infected:
C:\WINDOWS\default.htm (Trojan.Agent)
|
Nakon ponovnog restarta desktop ostaje nepromenjen, MB opet javlja i cisti isto a slicna je i situacija sa Spybotom (samo sto je u pitanju Smitfraud.c a ne Trojan.Downloader).
"Nesposobna zastita", ovaj put pomislih na glas!
Batalih posao sa kilavim softverom i pokrenuh "sitni ali dinamitni"
File & Folder Unlocker.
A tada, prosvetljenje: medju ucitanim procesima je nasao izvesni, meni nepoznat
zakacen za Explorer. Ffunlock je uspesno otkljucao fajl koji sam rucno obrisao. Zatim sam nasao i obrisao referencu ka njemu u registry bazi sa imenom
Citat:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
|
Ta referenca zapravo ima dve vrednosti (odvojene zapetom):
Citat:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\uesinqcr.exe,
|
dakle, obrisao sam samo ovaj drugi deo.
Znam da sam smorio ali ubrzo cu da "sredim" ovu napast.
Opet pokrenuh "kilavu zastitu" i ovaj put se jedino pojavljuje "Hijack.Desktop". Nakon malo "njuskanja", u Spybotu pod Tools\BHO's naidjem na
Citat:
System32\getsn32.dll (IE BHO)
|
Fajl je takodje zakacen za Explorer ali ga ffunlocker otkljucava i uspesno ga brisem.
Posle ovoga, sve je ponovo u normali: Task Manager radi, wallpaper na starom a od napasti ni traga ni glasa.
Dakle, kao sto je Nod na pocetku i javio (a glitch ga nije slusao) u pitanju je varijacija na temu Trojan.Downloadera, verovatno novija kako ga nista od zastite nije (uspesno) cistilo.
I jedna napomena: procesi koje sam "ubijao" su stoposto random name tako da se ne treba oslanjati na ova imena. Znaci, ako nikada nisu postojali medju procesima ucitanim u memoriju a sada su tu, to je najbolje mesto za pocetak.
Pa ne zatrebalo...