Jedna z trudniejszych do
usuwania infekcji, charakterystyczne cechy to przekierowania na
niechciane strony, pop-upy, oczywiście dostaniecie "fake
alerta", jednen z pop-upów był opisany jako
"Windows Security Center" i stąd potoczna
nazwa tej infekcji. Możecie ją dostać np. w "prezencie" od fałszywych
programów jak naprzykład Ware Out
czy UnSpyPC, KillAndClean
i inne.
Najbardziej jednak charakterystycznym znakiem jest podmiana
serwerów DNS
. Wasze serwery podmienione zostają na serwery ukraińskie.
Tu macie dwa przykładowe programy na obrazkach:
W logu hijacka można zobaczyć:
O2
- BHO: SEARCHTOOLBAR - {08BEC6AA-49FC-4379-3587-4B21E286C19E}
- C:\WINDOWS\SYSTEM\UPZTW.DLL
O2 - BHO: SEARCHTOOLBAR - {08BEC6AA-49FC-4379-3587-4B21E286C19E} -
C:\WINDOWS\SYSTEM32\HAFDN.DLL
O3 - TOOLBAR: SEARCHTOOLBAR - {08BEC6AA-49FC-4379-3587-4B21E286C19E} -
C:\WINDOWS\SYSTEM\UPZTW.DLL
O3 - TOOLBAR: SEARCHTOOLBAR - {08BEC6AA-49FC-4379-3587-4B21E286C19E} -
C:\WINDOWS\SYSTEM32\HAFDN.DLL
O4 - HKCU\..\RUN: [KILLANDCLEAN] "C:\PROGRAM FILES\KILLANDCLEAN\KILLANDCLEAN.EXE"
O4 - HKCU\..\RUN: [UNSPYPC] "C:\PROGRAM FILES\UNSPYPC\UNSPYPC.EXE"
O4 - HKCU\..\RUN: [WAREOUT] C:\PROGRAM FILES\WAREOUT\WAREOUT.EXE
O4 - HKLM\..\RUN: [DMCFY.EXE] C:\WINDOWS\SYSTEM32\DMCFY.EXE
O4 - HKLM\..\RUN: [DMDEC.EXE] C:\WINDOWS\SYSTEM32\DMDEC.EXE
O4 - HKLM\..\RUN: [DMMSK.EXE] C:\WINDOWS\SYSTEM32\DMMSK.EXE
O4 - HKLM\..\RUN: [HCLEAN32.EXE] C:\WINDOWS\SYSTEM32\HCLEAN32.EXE
O9-EXTRA 'TOOLS' MENUITEM: START SPYWARE
REMOVER-{BF69DF00-2734-477F-8257-27CD04F88779}-C:\PROGRAM FILES\WAREOUT\
WAREOUT.EXE (HKCU)
O9 - EXTRA BUTTON: START SPYWARE
REMOVER-{BF69DF00-2734-477F-8257-27CD04F88779}-C:\PROGRAM
FILES\WAREOUT\
WAREOUT.EXE (HKCU)
O15 - TRUSTED ZONE: HTTP://*.63.219.181.7
O17 -
HKLM\SYSTEM\CCS\SERVICES\TCPIP\..\{54E46EDE-05DB-46DA-9B13-DD8BF9C9ED9C}:
NAMESERVER = 69.50.176.156,195.225.176.31
O17 -
HKLM\SYSTEM\CCS\SERVICES\TCPIP\..\{B7030F43-4B19-4DBF-BCF7-6420E5C6A905}:
NAMESERVER = 69.50.176.156,195.225.176.31
O17 -
HKLM\SYSTEM\CCS\SERVICES\TCPIP\..\{CFDC8BFB-F72D-405D-9C87-2CE36996EE0B}:
NAMESERVER = 195.95.218.18,85.255.112.11
O17 -
HKLM\SYSTEM\CS1\SERVICES\TCPIP\..\{660CBB5F-E838-448A-9133-16E56AF00B44}:
NAMESERVER = 195.95.218.18 85.255.112.11
O17 -
HKLM\System\CCS\Services\Tcpip\..\{4DBFB397-9F45-453B-8D07-187D39A75833}:
NameServer = 85.255.112.158,85.255.114.78
O17 -
HKLM\System\CS1\Services\Tcpip\..\{4DBFB397-9F45-453B-8D07-187D39A75833}:
NameServer = 85.255.112.158,85.255.114.78
O17 -
HKLM\System\CS2\Services\Tcpip\..\{4DBFB397-9F45-453B-8D07-187D39A75833}:
NameServer = 85.255.112.158,85.255.114.78
O17 -
HKLM\System\CCS\Services\Tcpip\..\{210FDBEB-C2F7-42A0-B838-EAB47907B7FD}:
NameServer = 85.255.114.76,85.255.112.136
O17 -
HKLM\System\CCS\Services\Tcpip\..\{74B2E07C-9A84-4893-B2DE-145CD5DA7B17}:
NameServer = 85.255.114.76,85.255.112.136
O17 -
HKLM\System\CCS\Services\Tcpip\..\{CA5746C1-3CF5-4F49-8F3C-27C3628DBD01}:
NameServer = 85.255.114.76,85.255.112.136
O17 -
HKLM\System\CS1\Services\Tcpip\..\{210FDBEB-C2F7-42A0-B838-EAB47907B7FD}:
NameServer = 85.255.114.76,85.255.112.136
O17 -
HKLM\System\CS2\Services\Tcpip\..\{210FDBEB-C2F7-42A0-B838-EAB47907B7FD}:
NameServer = 85.255.114.76,85.255.112.136
O17 -
HKLM\System\CCS\Services\Tcpip\..\{2EC00026-39A1-4A0F-BC4C-19955A3D7684}:
NameServer = 85.255.115.51,85.255.112.128
O17 -
HKLM\System\CCS\Services\Tcpip\..\{7C8002AB-B4C8-402A-B99A-15F76A53D52F}:
NameServer = 85.255.115.51,85.255.112.128
W logu silenta można zobaczyć:
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\
{++}
"HCLEAN32.EXE" = "C:\WINDOWS\SYSTEM32\HCLEAN32.EXE" [NULL DATA]
"DMFNO.EXE" = "C:\WINDOWS\SYSTEM32\DMFNO.EXE"
[NULL DATA]
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ {++}
"DMLPV.EXE" = "C:\WINDOWS\SYSTEM32\DMLPV.EXE"
[NULL DATA]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\
INFECTION WARNING! "SYSTEM" = "CSLDX.EXE"
[NULL DATA]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\
INFECTION WARNING! "SYSTEM" = "CSTKF.EXE"
[NULL DATA]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\
INFECTION WARNING! "SYSTEM" = "KDTVF.EXE"
[NULL DATA]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\
<<!>> "SYSTEM" = "KDSHP.EXE"
[NULL DATA]
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\
<<!>> "SYSTEM" = "KDOUF.EXE"
[NULL DATA]
TOOLBARS, EXPLORER BARS, EXTENSIONS:
------------------------------------
EXTENSIONS (TOOLS MENU ITEMS, MAIN TOOLBAR MENU BUTTONS)
HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\EXTENSIONS\
{BF69DF00-2734-477F-8257-27CD04F88779}\
"BUTTONTEXT" = "START SPYWARE REMOVER"
"MENUTEXT" = "START SPYWARE REMOVER"
"EXEC" = "C:\PROGRAM FILES\WAREOUT\WAREOUT.EXE" [NULL DATA]
Usuwanie:
Trudne, jeśli zainstowaliście
gówniany program to: panelu sterowania
>>dodaj/usuń programy ,odinstalować.
Zastosować w trybie
awaryjnym narzędzie
FixwareOut
A tak wygląda przykładowy log z narzędzia, znajdziecie go
C:\fixwareout\report.txt :
Fixwareout Last edited
2/11/2007
Post this report in the forums please
...
»»»»»Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdbnp.exe"
»»»»» System restarted
»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for
older varients.
....
Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S
for further inspection.
AKTUALIZACJA:
Ostatnio charakterystycznym wpisem widocznym w hijacku jest
wpis w pozycji 04 , macie tu kilka przykładów:
O4
- HKLM\..\Run: [C:\WINDOWS\system32\kdaem.exe]
C:\WINDOWS\system32\kdaem.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdlng.exe]
C:\WINDOWS\system32\kdlng.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdbvx.exe]
C:\WINDOWS\system32\kdbvx.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdlnr.exe]
C:\WINDOWS\system32\kdlnr.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdchv.exe]
C:\WINDOWS\system32\kdchv.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdzfh.exe]
C:\WINDOWS\system32\kdzfh.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdszk.exe]
C:\WINDOWS\system32\kdszk.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdpfy.exe]
C:\WINDOWS\system32\kdpfy.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdnky.exe]
C:\WINDOWS\system32\kdnky.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdodx.exe]
C:\WINDOWS\system32\kdodx.exe
Niestety podstawowe narzędzie
FixwareOut
zostało wycofane przez jego twórcę, w zamian proszę stosować
Malwarebytes' Anti-Malware , SmitFraudFix , ComboFix
