Malware Removal Information

Ga naar de inhoud

Hoofdmenu

Qoologic

Infecties > Archief O - S

Kenmerken van de infectie:
De eerste varianten van Qoologic verschenen in december 2004. Vaak vergezelden ze de toen ontdekte VX2 variant.
Velen zien "Narrator" (genoemd naar de startupnaam) als een trojan. Anderen beschouwen het dan weer als een komplete Windows Rootkit.

Het herkennen van de Narrator-infectie was vooral bij de oudere varianten niet zo makkelijk. Vaak werden deze verborgen in een HijackThislog.
De nieuwste variant is meestal wel zichtbaar in een HijackThislog:
O4 - HKLM\..\Run: [KavSvc] C:\WINDOWS\system32\pzkviv.exe
O4 - HKLM\..\Run: [Narrator] C:\WINDOWS\system32\wrvovq.exe
O4 - HKLM\..\Run: [autoupdate] rundll32 C:\WINDOWS\SYSTEM\WINUP2DATE.DLL,SHStart

Kaspersky Antivirus maakt ook een opstartsleutel met de naam KavSvc. In dit geval wordt er verwezen naar het bestand kavsvc.exe.
De bestandsnamen bestaan meestal uit 6 willekeurig gekozen tekens. Vaak worden 1 of meer tekens herhaald.
Soms zie je tussen de actieve processen in een HijackThislog een bestand dat duidt op Narrator, zonder dat er een corresponderende opstartsleutel (O4) is aanwezig is. Dit bestandje staat meestal in de %system% map, in de Windows map of in de Opstartmap van Alle gebruikers.
Voorbeelden:

C:\WINNT\system32\wwrvkq.exe
C:\WINNT\system32\yuqivv.exe
C:\WINDOWS\System32\yqiogu.exe
C:\WINDOWS\RKWVVV.EXE
C:\DOCUME~1\ALLUSE~1\STARTM~1\Programs\Startup\hhtknf.exe
C:\WINDOWS\Start Menu\Programs\StartUp\tnhkkk.exe

Soms bestaat het .exe bestand in de opstartmap slechts uit vier tekens.
Voorbeeld:
C:\docume~1\alluse~1\startm~1\programs\startup\DANC.EXE

Wanneer de computer geïnfecteerd is met de nieuwste van variant kan je ook last hebben van popups van Urllogic.com, Inquire.com, Qoologic.com of popups die verwijzen naar Qoologic.com.

Hoe verwijderen.


Download FindQoologic
en plaats het op je bureaublad.
Unzip alle bestanden in een eigen map FindQoologic op het bureablad. Open deze map en dubbelklik op Find-Qoologic2.bat. Wanneer het batfiltje klaar is, wordt er een logje gemaakt: file.txt.

Een logje ziet er zo uit:
De vet weergegeven bestanden maken deel uit van de infectie:

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL

WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
"""""""""""""""""""""""" Files found in System """""""""""""""""""""""

* urllogic C:\WINDOWS\ONZJM.DLL

* ad-beh C:\WINDOWS\System32\IYRTSTI.DLL

* ad-beh C:\WINDOWS\System32\KRUAD.DLL

* ad-beh C:\WINDOWS\System32\DAOQP.DLL

* ad-beh C:\WINDOWS\System32\WINUP2~1.DLL

* ad-beh C:\WINDOWS\System32\PZKVIV.EXE

* ad-beh C:\WINDOWS\System32\NAMBDBN.EXE

* ad-behNior.com  C:\WINDOWS\System32\AUKPW.DAT

* ad-behNior.com  C:\WINDOWS\System32\WMCONFIG.CPL



"""""""""""""""""""""""" startup files"""""""""""""""""""""""""""""""""
* exe  C:\docume~1\alluse~1\startm~1\programs\startup\KAIN.EXE


""""""""""""""""""""""""" Checking Global Startup """""""""""""""""""""

NOT using address check

Global Startup:
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
.
..
desktop.ini
osd.exe.lnk
File-Ex.lnk
kain.exe

User Startup:
C:\Documents and Settings\User name\Start Menu\Programs\Startup
.
..
desktop.ini
Note.txt

"""""""""""""""""""""""" Registry Entries Found """""""""""""""""""""""

! REG.EXE VERSION 3.0

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers
   <NO NAME> REG_SZ

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\nyxfmf <<<<<<<<<<<
   <NO NAME> REG_SZ {0ee23f41-d6c4-4cff-83c3-d8e0d67c8a1e}

""""""""""""""""""""""""" Active setup """"""""""""""""""""""""""""""""

"Find activesetup", version1, launched at: 04:51
Operating System: Windows XP SP2


HKLM\Software\Microsoft\Active Setup\Installed Components\
"1399ae29-222b-4285-b4b3-1c1c3e53cb83\(Default)" = ""
                                   \StubPath  = "C:\WINDOWS\system32\nambdbn.exe" [null data] <<<<<
">{22d6f312-b0f6-11d0-94ab-0080c74c7e95}\(Default)" = "Windows Media Player"
                                       \StubPath  = "C:\WINDOWS\inf\unregmp2.exe /ShowWMP" [MS]
"{44BBA842-CC51-11CF-AAFA-00AA00B6015B}\(Default)" = "NetMeeting 3.01"
                                     \StubPath  = "rundll32.exe advpack.dll,LaunchINFSection
C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Remove.PerUser.NT" [MS]

Note:
In vroegere versies van "Narrator" waren de bestanden die bij deze infectie hoorden steeds .exe en .dll bestanden bestaande uit 6 lettertekens. Bij latere varianten wordt hiervan afgeweken, en voldoen enkel de bestanden die verschijnen in de processenlijst of onder de opstartsleutel (O4) hier nog aan. Vaak zie je ook een .CPL bestand en minstens 1 .DAT bestand.
Niet alle bestanden die in de log verschijnen zijn van kwaadaardige oorsprong. Voorbeeld van legitieme bestanden zijn:
vsapi32.dll (TrendMicro)
ntdll.dll (Windows DLL)
pav.sig (Panda antivirus)

Met Pocket Killbox verwijder je de bestanden die bij deze infectie horen. Hiervoor gebruik je best de optie "Replace on Reboot - Use Dummy".

Download Pocket KillBox
.
Unzip het programma naar je bureaublad.
Start de computer in veilige modus
.
Klik op killbox.exe.
Selecteer de optie "Replace on Reboot" en vink aan "Use Dummy'.
In het veld "Full path of file to delete" Kopieer en plak je het volgende: NAAM BESTAND
Klik op de knop met de rode cirkel en het witte kruis.
Je krijgt een melding dat het bestand zal vervangen worden door een dummy bestand wanneer je de computer de volgende keer opstart. Klik op "Ja" om dit te bevestigen.
Wanneer het programma vraagt om nu te rebooten, geef je hier geen toestemming voor. Klik op de knop "NO".
Voeg op dezelfde wijze de volgende bestanden toe: NAMEN VAN DE BESTANDEN
In het veld "Full path of file to delete" Kopieer en plak je het volgende: NAAM VAN HET LAATSTE BESTAND OM TE VERWIJDEREN
Klik op de knop met de rode cirkel en het witte kruis.
Je krijgt een melding dat het bestand zal vervangen worden door een dummy bestand wanneer je de computer de volgende keer opstart. Klik op "Ja" om dit te bevestigen.
Wanneer het programma vraagt om nu te rebooten, geef je hier toestemming voor. Klik op de knop "YES".

Wanneer de computer opnieuw gestart is controleer je met behulp van een nieuwe findQoologiclog of er nog bestanden aanwezig zijn.
Herhaal deze stappen tot er geen bestanden meer verschijnen in de log.

Wanneer je in een volgende log één of meerdere bestanden terugvindt uit de vorige log, dan moet je alle bestanden uit de vorige log opnieuw mee laten killboxen.

Het kan gebeuren dat de gebruiker de volgende error krijgt wanneer de computer opnieuw start:
16 Bit MS-DOS Subsystem
C:\WINNT\system32\wwrvkq.exe
The NTVDM CDV has encountered an illegal instruction.

Gebruik in dit geval de optie "Terminate the application" en ga verder met het kilboxen van de bestanden. Deze melding zal verdwijnen wanneer alle Narrator-bestanden verdwenen zijn.

Het is mogelijk dat de  FindQoologic bat geen bestanden meer toont in de log, ondanks dat een HijachThislog of de computer nog steeds wijzen op aanwezigheid van deze infectie. Wanneer dit het geval is kan je Sysinternals' RootKitRevealer gebruiken: http://www.sysinternals.com/files/rootkitrevealer.zip

Download Sysinternals RootKitRevealer
..
Unzip het naar je bureaublad. Start het programma en klik op "Scan". Er wordt een logfiletje gemaakt.
Voorbeeld van een logfile:
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\UGIHKH.EXE 2/26/2005 4:30 AM 32.00 KB

Hidden from Windows API.
C:\WINDOWS\NCOHNH.DLL 2/26/2005 4:36 AM 3.74 KB Hidden from Windows API.
C:\WINDOWS\SYSTEM32\IACWVW.EXE 2/26/2005 4:30 AM 32.00 KB Hidden from Windows API.
C:\WINDOWS\SYSTEM32\ORNEIE.DLL 2/26/2005 4:22 AM 24.00 KB Hidden from Windows API.
C:\WINDOWS\SYSTEM32\ZUAHLH.EXE 2/26/2005 4:30 AM 3.00 KB Hidden from Windows API.

Deze bestanden kan je verwijderen met Killbox.
Een andere progje dat deze bestanden toont is RKfiles
.



Als alle bestanden verdwenen zijn moet er in het register nog verder opgeruimd worden. (Dit is niet nodig op windows 9X systemen.)
Wanneer de registersleutels niet verwijderd worden, blijft de kans op een nieuwe infectie groter.
De registersleutels die deze infectie toevoegt en die we gaan verwijderen zijn:

  • een willekeurige CLSID onder HKEY_CLASSES_ROOT\CLSID\

  • een willekeurige context menu sleutel onder HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ (deze zie je wanneer je rechtsklikt op een bestand)

  • een andere willekeurige CLSID die verschijnt onder HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\


Voorbeeld van een logje. De registersleutels staan in het vet.

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL

WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
"""""""""""""""""""""""" Files found in System """""""""""""""""""""""

* urllogic C:\WINDOWS\ONZJM.DLL[/b]

* ad-beh C:\WINDOWS\System32\IYRTSTI.DLL
* ad-beh C:\WINDOWS\System32\KRUAD.DLL
* ad-beh C:\WINDOWS\System32\DAOQP.DLL
* ad-beh C:\WINDOWS\System32\WINUP2~1.DLL
* ad-beh C:\WINDOWS\System32\PZKVIV.EXE
* ad-beh C:\WINDOWS\System32\NAMBDBN.EXE
* ad-behNior.com  C:\WINDOWS\System32\AUKPW.DAT
* ad-behNior.com  C:\WINDOWS\System32\WMCONFIG.CPL


"""""""""""""""""""""""" startup files"""""""""""""""""""""""""""""""""
* exe  C:\docume~1\alluse~1\startm~1\programs\startup\KAIN.EXE

""""""""""""""""""""""""" Checking Global Startup """""""""""""""""""""

NOT using address check

Global Startup:
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
.
..
desktop.ini
osd.exe.lnk
File-Ex.lnk
kain.exe

User Startup:
C:\Documents and Settings\User name\Start Menu\Programs\Startup
.
..
desktop.ini
Note.txt

"""""""""""""""""""""""" Registry Entries Found """""""""""""""""""""""

! REG.EXE VERSION 3.0

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers
   <NO NAME> REG_SZ

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\nyxfmf

   <NO NAME> REG_SZ {0ee23f41-d6c4-4cff-83c3-d8e0d67c8a1e}

""""""""""""""""""""""""" Active setup """"""""""""""""""""""""""""""""

"Find activesetup", version1, launched at: 04:51
Operating System: Windows XP SP2


HKLM\Software\Microsoft\Active Setup\Installed Components\
"1399ae29-222b-4285-b4b3-1c1c3e53cb83\(Default)" = ""
                                   \StubPath  = "C:\WINDOWS\system32\nambdbn.exe" [null data]

">{22d6f312-b0f6-11d0-94ab-0080c74c7e95}\(Default)" = "Windows Media Player"
                                       \StubPath  = "C:\WINDOWS\inf\unregmp2.exe /ShowWMP" [MS]
"{44BBA842-CC51-11CF-AAFA-00AA00B6015B}\(Default)" = "NetMeeting 3.01"
                                     \StubPath  = "rundll32.exe advpack.dll,LaunchINFSection

C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Remove.PerUser.NT" [MS]

De willekeurig gekozen CLSID voor LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components herken je omdat er geen haken {} staan rond de CLSID. Al de andere CLSID hebben dit wel.
De sleutel in het rechtsklikmenu (Context Menu handler) kan je herkennen aan de willekeurig gekozen naam, waarschijnlijk bestaande uit 6 of 8 letters, waarvan meestal één paar letters herhaald worden.

De standaard regfile is:
REGEDIT4

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\CLSID1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\XXXXXX]

[-HKEY_CLASSES_ROOT\CLSID\{CLSID2}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CLSID2}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Narrator"=-
"autoupdate"=-
"KavSvc"=-

CLSID1 is de willekeurige gekozen CLSID die je vindt bij Installed Components (deze zonder de haken)
CLSID2 is de willekeurige gekozen CLSID die je vindt onder de slechte Context Menu handler.
De XXXXXX vervang je door de willekeurig gekozen naam bij Context Menu handler.



De regfile wordt dus:

REGEDIT4

[-HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\nyxfmf]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\1399ae29-222b-4285-b4b3-1c1c3e53cb83]

[-HKEY_CLASSES_ROOT\CLSID\{0ee23f41-d6c4-4cff-83c3-d8e0d67c8a1e}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Narrator"=-
"autoupdate"=-
"KavSvc"=-

Gebruik van Agent Ransack bij deze infectie:

Download en installeer Agent Ransack
: http://www.mythicsoft.com/agentransack/default.aspx.
Start het programma.
Rechts bovenaan zorg je dat er een vinkje staat bij "Expert user".
In het veld "Containing text" kopieer en plak je het volgende: (Qoologic|Aspack|narrator| urllogic|ad-beh)+
In het veld "Look in" kopieer en plak je het volgende: C:\windows;C:\windows\start menu\programs\Startup
Haal het vinkje weg bij "Search subfolders".
Klik op de knop "Start Search".
Wanneer het programma klaar is ga in het menu "File" naar "Save results".
Kies dan "save to clipboard". Zorg dat bij "Save Information" enkel File Name aangevinkt is. (Contents mag niet aangevinkt zijn.)


Terug naar de inhoud | Terug naar het hoofdmenu