Author Topic: Win32:Crypt-QCS  (Read 4426 times)

0 Members and 1 Guest are viewing this topic.

Offline Mirek14

  • Newbie
  • *
  • Posts: 16
Win32:Crypt-QCS
« on: November 27, 2013, 11:18:35 PM »
Nekde mi v kompu sedí tenhle trojan. Kdyz mi PC cím dál tím casteji lezl jako kdyz chce a nemúze a swap-soubor nabýval nadmerných rozmmerú, rozhodl jsem se na toho swapa podívat. Mimo Windows jsem ho prejmenoval, pak otestoval Avastem a ten mi ho v nem nasel. Komp ted jede zas dostatecnou rychlostí a celkem plynule jak má, swap je ale porád asi o 1/3 vetsí nez býval a toho trojana v nem opakovane - i kdyz ne pokazdé - nacházím. Jinak mi Avast na celém disku uz nenachází nic. Ten swap extra pred kazdým startem Windows mazu. Odpovídalo by to ovsem tomu, co mi o tomhle nerádovi nasel Gugl, ze se nedá jen tak automaticky odstranit, ze se porád vrací. Na yac.mx jsem nasel dobrou radu:

Krok 2:
Otevrete hlavní panel stisknutím kláves CTRL + DEL + ALT a ukoncit celý proces týkající se Trojan Win32:Crypt-QCS hrozbou.  >:( >:( >:(  ;D
Krok 3:
Otevrete okno Registry zadáním "regedit" v okne Spustit.
Jakmile se otevre hledat soubory registru týkající se Trojan Win32:Crypt-QCS a odstranit všechny z nich.
Krok 4:
Hledat všechny Trojan Win32:Crypt-QCS související soubory rucne ve vašem systému a mazat.


Tady ovsem nenacházim k tomuhle nebo podobnému názvu ani v registracích, ani v systému nic nez jednoznacné stopy mého vlastního hledacího úsilí.


Kdo mi poradí, jak ho skutecne zastrelím definitivne?
« Last Edit: December 06, 2013, 10:11:26 AM by Mirek14 »

Offline GabrielGorta

  • Full Member
  • ***
  • Posts: 151
Re: Win32:Crypt-QCS
« Reply #1 on: November 28, 2013, 07:09:59 PM »
Prvoradom si zabecpec porty, jinak po odstraneni sa ti vzdy vrati.

Offline Mirek14

  • Newbie
  • *
  • Posts: 16
Re: Win32:Crypt-QCS
« Reply #2 on: November 30, 2013, 12:36:30 PM »
Ten pes bude zakopaný jinde nez v nezabezpecených portech. Ted jsem utnul bootování jeste drív, nez se moh komp pripojit k síti, vytáhnul jsem swap a otestoval - a Win32:Crypt-QCS v nem uz byl. Tzn. ten prezívá nekde nerozpoznaný v kompu. V RAM urcite ne, protoze PC vzdycky plne odpojuju od napetové síte minimálne na tak dlouho, az ze zdroje slysim, ze mu definitivne dosly síly. A ve swapu samotném taky sotva. Ten jsem prejmenoval hned na zacátku v DOSu a pak jsem komp jeste vypnul. Takze pro tomhle bootování tam zádný swap jako takový od minule nebyl.
« Last Edit: November 30, 2013, 12:38:54 PM by Mirek14 »

Offline Mirek14

  • Newbie
  • *
  • Posts: 16
Re: Win32:Crypt-QCS
« Reply #3 on: December 06, 2013, 11:10:24 AM »
Protoze zdroje uvádejí, ze tenhle trojan múze manipulovat protivirové programy, aby jeho nekalé rádení nerozpoznaly, rozhodl jsem se jako první kompletne obnovit svoji instalaci Avasta. Odinstaloval jsem, jeste rucne docistil od zbytkú, jez nevyrídila automatická deinstalace jak mezi soubory, tak i v registraccích a kompletne nainstaloval znova - vse vcetne aktualizace offline samozrejme. Zá se mi, ze ted pocítac jede rychleji, plynuleji, ale i mozná ze se to opravdu jen zdá. Swap porád dosahuje casto podstatne vyssích velikostí nez jeste pred nekolika mesíci a uschovaný stranou po novém startu v nem Avast porád nachází v ca. 80% tuhle infekci (stále platí, ze i kdyz vúbec nenavstevuji Internet, mám i kabel odpojený od modemu); jednou mezi tím nasel místo toho cerva HLLP-Vova 10.1-B, který se tu uz jednou ted zpocátku tehle mých testú objevil, pozdeji uz ne, az ted jednou znova.

Pritom ale zajímavé: Infekci nacházím, kdyz testuji jednotlivý soubor tzv. rychlým - ve skutecnosti dost dlouho trvajícím - testem (pravým mysítkem cvaknout na soubor nebo skupinu ci slozku, v menu vybrat "hledání vira"). Otestuji-li celou slozku normálne spusteným Avastem na úrovni Standard (bezí nesrovnatelne rychleji, nez predchozí test), nenajde nic. Zopakuji-li tento test na úrovni Intenzivne, najde vsechny infekce stejne jako pri jednotlivých testech.

Na jednu stranu bych rekl, co je oznacené jako standard, by melo normálne stacit. Na druhou ale kdyz je tu intenzivní modus, který ukazuje na reálné nebezpecí, co standard nevidí, rekl bych zas, ze bud je pocítac infikovaný nebo není. Má-li clovek jistotu o prvním, nemusí testovat vúbec. Má-li podezrení na to druhé, tak testovat, ale jedine testem, který podezrení bud potvrdí nebo spolehlive vyvrátí. A pak by byl jakýkoliv jiný test nez intenzivní, byt trvá pomerne dlouho, na nic (prípadne jeste na to dalsí, ale nechce se mi tu sírit zápach neslusných pojmú ;)). Ovsem pokud se nejedná o precitlivelou heuristiku, pak by nad tím visel velký obecný otazník. Protoze laický uzivatel, který se na takovýhle test musí spolehnout, nedokáze dobre rozpoznat, co je skutecný skúdce a co jen planý poplach z precitlivelosti. Prestoze význam a uzitecnost heuristiky jsou jasné, kdyz lékar zdravému cloveku na základe nahromadení jakýchsi mlhavých indikací sdelí diagnózu rakoviny, také to není dobré.

V jednom fóru psal jakýsi - ocividne kvalifikovaný - rádce o podobném trojanovi (Win32:Crypt-xxx; xxx = jiná kombinace 3 písmen, jichz Gugl najde snad stovky), ze ho nasla heuristika NODa, i kdyz moznost planého poplachu hned vyloucil. Si ovsem ríkám: Standardní test ho u me nenachází, jen intenzivní. Nachází se jenom v bývalém swapu (presunutém na jiný disk), sice vetsinou, ale ne vzdy. Intenzivní test celého systémového oddílu nenachází zádnou infekci (testuje vúbec aktuální swap? spustím-li na nem individuální test, skoncí tento po dobe, jez lezí v rámci trvání testu takhle velkého souboru, s chybovým hlásením, ze na daný soubor nemá dosah, pri plném testu se nehlásí nic takového). Tak se ptám, jestli to prece jenom není planý poplach heuristiky? Na druhou stranu je tu ovsem porád ten ponekud "nateklý" swap.

Jak to poznám spolehlive?

Offline Mirek14

  • Newbie
  • *
  • Posts: 16
Re: Win32:Crypt-QCS
« Reply #4 on: December 11, 2013, 03:48:16 PM »
Jen krátce prúbezná zpráva o stavu veci: Pokusil jsem se o radikálnejsí metodu a vzal do pouzití klona systémového disku, co jsem si udelal do rezervy v srpnu 2010. Jenze jsem musel zjistit, ze ten se chová úplne stejne. Takze pokud by to celé nemel být heuristický planý poplach, sedí mi tu tedy nerozpoznán uz pekne dlouho. A protoze jsem zatím nenasel jinou bezrizikovou moznost ho zlikvidovat, pracuju na úplne nové instalaci na absolutne cistý, kompletne vc. MBR smazaný disk, za dúsledné prúbezné kontroly na potenciální rizika infekcí.

Offline Mirek14

  • Newbie
  • *
  • Posts: 16
Re: Win32:Crypt-QCS
« Reply #5 on: December 13, 2013, 04:51:16 AM »
Takze vidím jen 2 moznosti: Bud to je planý poplach nebo ten vir sedí v BIOSu.

Co jsem udelal:
1. Vzal jsem úplne cistý disk, který jsem pred tím kompletne, vcetne MBR, smazal RanishPartitionManagerem a v témze programu príslusne zformátoval.
2. Vzal jsem sytémovou CD, odpojil ostatní HD, tuhle - jiz mám normálne jako sekundárního otroka jsem pripojil jako primárního pána a udelal na nej první instalaci systému. Následovala první nastavení podle mého gusta, jez takovà instalace umoznuje - predevsím potrebné parametry pro monitor, vytáhl jsem príslusné ikonky na plochu a do listy rychlých startú, udelal jsem potrebná nastavení Windows-Exploreru.
3. Nejdrív vlastní Avast, pak aktuální databanka Avasta nainstalována (oboje offline).
4. Vse dosud nainstalované podrobeno intenzivnímu Avastu.
5. Tato nove nainstalovaná HD prepojena jako sec-lave, oba disky s daty pripojeny jako mastery, v BIOSu nastaven ten disk na pozici sec-slave jako startovací.
6. Po opetném bootu  první kopie predchozího swapu intensivne otestována na viry, zádná infektce nenalezena. Soubor ovsem pomerne malý, znacne pod 100 MB.
7. Intensivní test jednoho celého z obou diskú s daty (doba trvání ca. 25 - 26 h / 60 GB) infekce nenalezena. Vzhledem k tomu, ze tyhle 2 disky slouzí jako vzájemný backup, tj jejich obsahy jsou v zásade identické a jsou vzdy i soucasne v provozu, je i moznost rozdílu v prípadné infekci velice nepravdepodobná.
8. Instalace dalsích aplikací z tohoto otestovaného disku. Prístup na Internet (ovladac modemu) jeste není nainstalován.
9. Po rebootu vynuceném jednou z instalací dosahuje kopie predchozího swapu velikosti mezi 400 a 500 MB. Její intenzivní test indikuje infekci Win32:Crypt-QCS, coz me vede k záveru, ze se múze jedine bud jednat o planý poplach nebo sedí základ infekce v BIOSu.

Ted tedy 2 otázky na virové experty od Alwilu, u nichz predpokládám, ze dobre znají pravidla heuristiky:
a) Je za tehle okolností takovýhle planý poplach v takovémhle - po pravde receno ponekud nestandardním - souboru nadprúmerne pravdepodobný? (v asi necelých 10% prípadúi se místo trojana Win32:Crypt-QCS objeví cerv HLLP-Vova10.1-B)
b) Jestli ne, jak múzu prezkouset BIOS?
« Last Edit: December 13, 2013, 04:58:19 AM by Mirek14 »

Offline Mirek14

  • Newbie
  • *
  • Posts: 16
Re: Win32:Crypt-QCS
« Reply #6 on: January 04, 2014, 08:41:01 AM »
Problém trvá. Swap nadále presahuje i 1 GB, oproti drívejsím tak asi 250, max. ca. 500 MB, aniz by byl k tomu zjevný dúvod (nové bezící nárocné aplikasce ap.). A ted dostávám v jednom fóru, kam jsem zacal chodit, pri odesílání zpráv pravidelne tuhle hlásku:
Quote
Technical Support
Your request contained data which is consistent with spam, active malware, viruses, or similar software.

To resolve this problem, clean your computer of viruses and other malware.
Je to pri tom fórum, kde se jedná o instalaci jednoho SW, jejz dost nutne potrebuji a ac ostatním ocividne na v podstate stejných platformách, jako mám já, funguje, me ne, a nikdo z tamních expertú a tvúrcú onoho SW nemá zádný kloudný nápad proc. Moznost infekce mého PC jako dúvod zatím nebyla brána v potaz a nechci ji tam zbytecne prezentovat, protoze by snadno mohla vést k odpoutání pozornosti od mozných jiných prícin. Nejdrív bych sám rád mel o tomhle jistotu.

Takze bych byl opravdu moc rád, kdyby mi nekdo mohl ríct, jak múzu otestovat na prípadnou infekci BIOS. Heuristika se mi zdá cím dál tím méne jako prícina indikace tohodle vira pravdepodobná, takze opravdu uz nic jiného nez ten BIOS nezbývá.
« Last Edit: January 04, 2014, 08:53:25 AM by Mirek14 »