Oon tässä nyt viimisen vuorokauden yrittänyt poistaa tuota ja sen kavereita (etänä) porukoiden koneelta. Oon juoksutellut spybotin, avg, troijan removerin, ccleanerin, smitfraudfixin(tuntu jopa vähä auttavan), ad-awaren, HijackThissin, malwarebytessiä ja muita mukavia. Aluksi kone oli siinä kunnossa, että sieltä varmaa pyöri kaikki mahdolliset keyloggerit. Sähköposteihin tuli daemon deliveryjä ties mimmosista osotteista ( DAEMON@ebony.propagation.net näytti kivalta ). Eli uskoisin, että siel o vähä menny cc:tä käyttäjän tietämättä. Googlen searchit meni forwardina hienosti ties mihinkä, paras tais olla joku brazilialainen porntube sivusto. Kaikki virustorjunta, antispyware jne jne sivut oli sopivasti blokattuna. Nooh nyt on tilanne se, että suurimmaksi osaksi kone on nyt puhdistettu (mm. ccleaner poisti ~800 mt shittii). Ainut jäljellä oleva näyttää olevan tuo tdssserv.sys, jonka troijan removeri löytää, mutta mitä en ko hakemistosta kuitenkaan löydä. Poistin käsin tuon kaikki rekisteriavaimet, mitkä regeditillä löysin. Käynnistelen nyt kohta uusiksi ja katson mitä troijan removeri nyt sanoo. Käskin porukoiden laittaa natti purkin sielä adsl mötikän ja koneen väliin niin loppu kummasti cmd.exe:t ja services.exet tehtävienhallinnasta. Sitä ennen niitä starttas nopeammin ku ehti sammuttaan. Tuo sys filu nyt ei tunnu koneen toimintaan vaikuttavan mitenkään, enkä usko, että tuo "olematon" tiedosto pystyy enää pahemmin mitään uhkaa aiheuttamaan. Syy miksi tänne kirjoitan on seuraava huomio: smitfraudfixin logissa tuli vastaan, että hosts:sa on 127.0.0.1 ZieF.pl, jota ei kuitenkaan muistiolla sielä näy. Kokeilimpa sitten etsiä kyseistä tekstin pätkää kaikista tiedostoista koneella. Kävi sitten ilmi, että tuo ZieF.pl tai ZieF.pl/iraq.jpg sisältyy about kaikkiin html, htm ja pariin muuhun vastaavaan tiedostoon, mitä koneella on. Googlella en nopeasti löytänyt yhtäkään sivua aiheesta, mitä olisin viitsinyt avata. Ajattelin poistaa koneelta kaikki nuo htm ym tiedostot, vaikka siel menee kaikkea enemmän tai vähemmän tärkeää. Onko kellää tietoa tuosta ZieF.pl:stä sen enempää? Pitäiskö tässä kuitenkin tehdä jotain toimenpiteitä vielä? Niin ja tosiaan mun täytyy käyttää vikasietotilaa netin kanssa, että pääsen ylipäätänsä sinne koneelle käsiksi. Etätyöpötyä / vnc pyörii hamachin läpi, joten se ei sinänsä ole mikään tietoturvariski...
Joo edelleen Troijan removeri löytää "This file is loaded by a [hidden] Services Registry key: C:\Windows\system32\drviers\TDSSserv.sys A file with this name "has not" been found The file is loaded by the following Registry key: HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv Registry Value Name: Image Path THIS FILE APPEARS TO BE A ROOTKIT Appears to contain: Rootkit.Agent Ja tähän sitte mä laitan Remove this reference and disable the file by renaiming it [if it exists], mutta eihän se tuolle pahemmin mitää tee ku sitä ei oo olemassa... Koitin tosiaan noita TDSSserv poistaa rekisteristä, mut eihä toi piru antanu. Valitti virhettä poistaessa / virhettä uudelleennimeämisessä. Niin ja tuo tosiaan löytyy ~4-6 eri paikasta regeditillä. Kaikki antavat poistaa kyllä arvot sieltä sisältä, mutta itse "kansiota" ei saa pois... Eli voiko tuosta pelkästä rekisteriavaimesta olla vielä uhkaa? täs viel vähä logia, jos joku keksii jotain... Nyt oli muuten hostsista lähteny se ZieF.pl pois! Tosin poistelin tuos äsken ~ kaikki htm ja html filut ym... hosts on nyt ainaki vain luku muodossa ja jätin sinne pelkästään 127.0.0.1 local hostin... Troijan removerin logi oli pitkä ku nälkä vuosi, joten en siit ottanu muutaku: Onko tässä nyt sitte tyytyminen nykyiseen tilaan vai pitääkö tässä viel metsästää pöpöjä pois koneelta. Ajattelin kyl käydä viikon päästä ihan paikan päällä säätämässä. Täytyy antaa formattia, jos tuo ei tuosta tokene.
No se jää näköjään myöhemmäksi, siel ei winukka saa enää yhteyttä nettiin. Eipä pääse edes modeemin asetuksiin, joten taitaa mennä formattiin onnellisesti. Vaikutti tosiaan siltä, ettei tuota tdssserviä saanu rekistereistä kokonaan pois millään. Sieltä se löyty, mutta poistettaessa ei ollu oikeuksia tai sitä ei löytynyt. Yritin poistaa niitä käynnistyksen yhteydessä tekemälläni cmd filullakin, mutta eipä auttanut. Siel on ollu taas pienillä venäläisillä mukavaa tuota tehdessä. Puoltoista vuorokautta tuon kans nyt tapellu, että ihan hyvä ettei pääse enää tuhlailemaan aikaa tuon kans enempää. Format C auttaa aina. Huutelen tänne lisää vielä, jos saan vedellyksi anti-malwaret ennenku formatoin. Ilmeisesti kukaan ei tiedä, miksi/mistä tuo ZieF.pl oli hosts filussa...
Eipä löytänyt enää mitään. Troijan remover löytää edelleen samaa tiedostoa / avainta mitä aikaisemminkin. Neti ei toiminu, koska palomuurin asennus oli menny pieleen. Taustalla oli kyl osa muurista toiminnasta ja näin esti kaiken liikenteen mm. ip-osoitteen saamisen. Koska asennus ei ollu menny kunnolla, niin siit ei vaan tullu mitään näkyvää oiretta näytölle. Nyt on avg ja comodo asennettuna. Näyttää tosiaan siltä, ettei tuota tdssserviä saa pois tuolta mitenkään muutenku formatoimalla. Seurailen tilannetta, jos ei oireita ilmene niin eikai sitä tarvi muutaman haamurekisterin takia format c:tä laittaa... Yritin googletella lisää asian tiimoilta, mutta eipä tullut mitään mullistavaa vastaan. Täytynee seurata tilannetta, että alkaako samoja oireita kuulumaan muualtakin...
Tuo Malwarebytes' Anti-Malware ei ole päivittynyt. ====== 1.Lataa Combofix.exe työpöydällesi yhdestä linkistä: Combofix1 Combofix2 2. Tuplaklikkaa Combofix.exe tiedostoa ja seuraa ohjeistuksia. 3. Kun työkalu on valmis, se tuottaa lokin. Lähetä tämä loki viesti ketjuusi. Huom! Älä klikkaile combofixin ikkunaa käytön aikana. Tämä saattaa aiheuttaa ohjelman jumiutumisen.
tarkoittiko tuo Ajurit/Palvelut -kohta nyt sitä että toi sai poistettua tuommoset pois sieltä vai et noi kummittelee edelleen... C:\WINDOWS\system32\drivers\uumyvrgpazxjnrc.sys.vir näytti kans kivalta. Tosiaan se rekisteri avain, mistä se troijan removeri huuteli niin sisältää ainoastaan sen tyhjän arvon. Eli pitäisin sitä ns. haamuna sielä... Comodon tykkäs kyl kyttyrää tuosta combofixi juoksuttamisesta, mut kyl se sit loppuje lopuksi ku oli hyväksyny sataviissataa kertaa tuon tekemiä muutoksia. Vieläkö tuosta jotain tulee siivoilla pois....
Lataa SDFix by AndyManchesta ja tallenna se työpöydällesi. Käynnistä koneesi vikasietotilaan: sammuta ja käynnistä käynnistyksen yhteydessä hakkaa F8 nappia valitse nuolinäppäimellä vikasietotila paina enter ja enter valitse käyttäjätilisi paina kyllä Jossakin koneissa hakataan F8:sin sijasta F5:tä " Kun vikasietotilassa, pura tiedoston SDFix.zip sisältö (SDFix kansio) työpöydällesi. Työpöydälle pitäisi ilmestyä kansio nimeltä SDFix. " Avaa SDFix-kansio ja tuplaklikkaa tiedostoa RunThis.bat käynnistääksesi ohjelman. " Paina Y käynnistääksesi skriptin. " Työkalu puhdistaa troijalaisen palvelut ja tekee myös joitakin korjauksia rekisteriin. Lopuksi se pyytää käynnistämään koneen uudelleen, "Press any key to Reboot". " Paina mitä tahansa näppäintä ja kone käynnistyy uudelleen. " Käynnistyminen kestää normaalia kauemmin sillä SDFix puhdistaa konetta. " Kun kone on käynnistynyt ja työpöytä latautunut, SDFix kertoo että puhdistus on suoritettu, "Finished". " Paina sitten mitä tahansa näppäintä sulkeaksesi skriptin ja ladataksesi pikakuvakkeet työpöydälle. " Lopuksi avaa SDFix kansio (työpöydällä) ja kopioi & liitä tiedoston Report.txt sisältö viestiketjuusi uuden HijackThis:n lokin kera.
Joo niin mainittakoon nyt vielä, että päädyin loppujenlopuksi formatoimaan koko koneen. En ollut missään vaiheessa 100% varma, että pöpö lähti pois, joten turvallisuussyistä päädyin tyhjentämään koko toosan.
