Tuesday, February 26th, 2008...8:04 pm

Komputer wolno chodzi …

Jump to Comments

“Komputer wolno chodzi i chyba zrobię mu format” – często to słyszycie?  Ja ostatnio usłysząłem z ust pewnej młodej osoby i trzeba było się tym zająć. Osobiście jestem przeciwnikiem rozwiązywania problemów poprzez formatowanie dysku i instalację nowego systemu. Szkoda na to czasu. 

W tym konkretnym wypadku winny wszystkiemu był wirus, a ponieważ na sieci nie znalazłem infomracji jak się go pozbyć postanowiłem proces jego wykrycia i usnięcia tutaj pokrótce opisać.

Pierwszym krok do rozwiązania problemu był rzut oka na Task manger. Od razu rzucały się w oczy dwa procesy svchost.exe zajmujące bardzo dużo pamięci.

Ponieważ Task Manager nie podaje za dużo informacji ściągnąłem z sieci Process Explorer. Process Explorer szybko pokazał kilka dziwnych rzeczy dotyczących tych procesów:

  • były one uruchomione w drzewie procesów potomnych winlogon.exe
  • zajmowały stosunkowo dużo pamięci
  • w ramach tych procesów nie były uruchomione żadne usługi.

Dodatkowo w ramach procesów potomnych winlogon.exe uruchomiona była instancja Interent Explorer, której w zasadzie nie powinno tam być. Czyli wirus. Pewności nabrałem po sprawdzeniu tego czym się procesy owe zajmowały:

  • jeden z nich utrzymywał połączenie z hostem z sieci Internet
  • drugi słał niesamowite ilości poczty w sieć (już wiadomo dlaczego komputer wolno chodził).

Pozostało dowiedzieć sie tylko skąd toto się wzięło i jak sie tego pozbyć. Process Explorer ma kilka użytecznych funkcji, między innymi możliwość wyświetlenia listy handle procesu, czyli używanych przez proces zasobów. Szybka weryfikacja listy plików używanych przez winlogon.exe pokazała kilka pozycji nie podpisanych przez Microsoft. Krzyżowe sprawdzenie z wynikami działania ściągniętego z sieci Autoruns wskazało potencjalnego winnego “WLCtrl32.dll”, plik ten podpięty był pod odpowiedni klucz powodujący jego uruchomienie wraz z procesem winlogon.exe.

Po sprawdzeniu właściwości tego pliku, okazało się że powstał całkiem niedawno, w zasadzie przy ostatnim uruchomieniu procesu, i że ma towarzysza o nazwie “WLCtrl32.Dl_”.

Wskazywało to na to, że w systemie jest jeszcze proces, który tą całą kompanią zawiaduje i to tym kolegą tak naprawdę jestem zainteresowany. Dlaczego, ponieważ istaniało duże prawdopodobieństwo że plik DL_ jest plikem źródłowym dla DLL, i jakiś proces zarządza tymi plikami.

W ramach winlogon.exe aktywne były wątki wykonujące funkcje zawarte w tej bibliotece, co wskazywało na to że proces ten jest jak najbardziej aktywny.

 

Oczywiście proste próby ubicia tych procesów na nic sie nie zdały (no dobrze, wiedziałem że to nic nie da ale zawsze można spróbować). Po prostu uruchamiały się od nowa, przy okazji tworząc kolejną kopię IE. Jak potem doczytałem, czego nie trudno się było domyśleć, w celu ściągniecia własnej, nowszej wersji.

Pozostawało więc znaleźć jeszcze zawiadowcę. Sprawa okazała się dosyć prosta przy użyciu Autoruns i odrobiny zdrowego rozsądku. Na liście urzadzeń znajdowało się urządzenie o jakże czytelnej nazwie “Uyc13”.

W zasadzie podejrzewając, że mam już większość układanki wykonałem co następuje:

  • Na obu plikach WLCtrl32.dll i WLCtrl32.dl_ ustawiłem uprawnienia zabraniające komukolwiek, jakiejkolwiek operacji na nich
  • Z systemu usunąłem poprzez Control Panel urządzenie Uyc13
  • Używając Autoruns usunąłem odpowiedni wpis pozwalający na uruchomienie WLCtrl32.dll wraz z winlogon.exe
  • W rejestrze wyszukałem odwołania do obu plików i je usunąłem (w zasadzie było jedno – kopiowanie pliku WLCtrl32.dl_ na WLCtrl32.dll przy starcie systemu)
  • Używając starego narzędzia !KillBox zaplanowałem usunięcie obu plików, wraz z wykonaniem ich kopii przy restarcie systemu. Dlaczego przez !KillBox .. ponieważ je mam w podręcznym zestawie i łatwiej tak niż pisać w rejestrze bezpośrednio etc. :). Poszedłem na łatwiznę :).
  • Reboot.

Po starcie systemu po intruzie nie było śladu. Skan jednym i drugim AV nic nie pokazywał. Pozostało wyłączyć nadmiar otwartych w systemie portów, w zasadzie zmienić hasła, przydałoby się jeszcze zweryfikować wszystkie pliki systemowe itp.

Całość okazała się wariantem robaka “Email-Worm.Win32.Agent.e worm“. To tak dla informacyjności.

I żeby mi nikt więcej internetu na koncie Administratora nie przeglądał.

3 Comments

  • Witam,
    Opis bardzo mi pomógł, nie rozumiem jednak kwestii “Z systemu usunąłem poprzez Control Panel urządzenie Uyc13”. Poza tym u mnie plik drivera miał nazwę Bfj72.sys, prawdopodobnie ma losową nazwę.

    Pozdrawiam

  • Może za duży skrót myślowy zrobiłem. Chodziło mi o Device manager z panelu sterowania.

    Tak .. jest bardzo prawdopodobne że nazwa urządzenia jest losowa.

  • Mam problem z laptopem… mój problem staje się większy przez to, że moje pojęcie o komputerach jest na bardzo niskim poziomie 🙂 Ostatnio komputer wyłącza mi się podczas pracy i wyświetla się niebieskie tło, na którym widnieje informacja o pliku win32… Ponad to podczas uruchamiania komputera automatycznie włączają się dwa okna “moje dokumenty”.. Programy antywirusowe nie wykrywają wirusa.
    Chciałabym uniknąć formatowania komputera. Co mogę zrobić z moim problemem??? Bardzo proszę o pomoc 🙂

Leave a Reply