System wolno działa - dziwne procesy: svc.exe, xvsfym.exe, u2lj.exe

[tomo]

Witam

 

Mam następujący problem z komputerem.

 

Komputer przestał się uruchamiać. Zamiast pojawić się ekran z tym paskiem postępu i logiem Windows Xp wyświetlał się czarny ekran. Spróbowałem uruchomić z trybu awaryjnego ale też się zawieszał. Podczas startu w trybie awaryjnym widać było na czym się zatrzymuje. Najpierw był to plik kbxrr.sys. Wyłączyłem go z konsoli odzyskiwania. Potem przechodził dalej ale zatrzymywał się na pliku mxvhbaqh.exe. Po wyłączeniu i jego system ruszył.

 

System nie działa jednak normalnie. Chodzi bardzo wolno. Otwieranie okien trwa kilkanaście sekund. Przy starcie wyskakuje błąd, że brak pliku svc.exe. W procesach jest kilka dziwnych pozycji takich jak: svc.exe, xvsfym.exe, u2lj.exe

 

Chciałem przeskanować system Dr.web ale podczas skanowania następuje restart. Skaner wykrywa, że w pamięci jest BackDoor.Tdss.565 i pisze, że zniszczony, ale po chwili następuje restart i od nowa jest.

 

Zrobiłem logi z OTL. Z Gmera tylko udało się zrobić ze wstępnego skanowania bo w czasie pełnego następuje restart. Nawet w trybie awaryjnym.

Rootrepeal też nie mogę zrobić skanu bo wiesza się chwilę po wystartowaniu skanowania.

 

OTL.Txt

Extras.Txt

gmer_preskan.txt

[Landuss]

Przede wszystkim masz tutaj infekcję z mediów przenośnych (pendrive lub inne tego typu przenośne urządzenie). Poza tym jest rootkit.

 

1. Zastosuj narzędzie Kaspersky TDSSKiller i wklej z niego log.

 

2. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

[tomo]

Uruchomiłem Kaspersky TDSSKiller. Wykrył coś ale nie wiedziałem czy dać Quarantine czy Delete, bo opcji Cure nie było. Zostawiłem na Skip, żeby nic nie zepsuć i czekam na instrukcje.

 

Poniżej także log z Listingu USBFix

 

ps. Nie widziałem tego wcześniej ale jak przechodzę pomiędzy aplikacjami za pomocą Atl+Tab to jest jedna ikonka na którą jak wejdę to żadna aplikacja się nie pojawia. Ikonka wyglądem przypomina głowę diabła z takimi zawiniętymi rogami. Ma kolor czerwony. Dałem screena. I jeszcze teraz wyskoczyła mi strona w IE z jakimiś tresciami porno i za każdym uruchomieniem systemu wyskakuje komunikat, czy przywrócić sesję IE.

 

 

TDSSKiller.2.4.1.2_23.08.2010_18.03.57_log.txt

UsbFix.txt

[Landuss]

Sytuacja nie wygląda póki co dobrze. W obecnej sytuacji najlepiej będzie jak skorzystasz z narzędzia ComboFix i wkleisz wynikowy log.

 

Po operacji ComboFix wykonaj też nowy log z Gmer i zaprezentuj.

[tomo]

Uruchomienie ComboFixa nie było do końca udane. Najpierw w czasie uruchomienia był komunikat, że ComboFix wykrył rootkita i że trzeba ponownie uruchomić kompa. W trakćie ponownego uruchomienia wywaliło BSOD. "BAD_POOL_HEADER" a potem nie chciał wystartować system. Dopiero w awaryjnym tuszył i tam ComboFix poszedł. Po restarcie w czasie tworzenia loga jak już Combofix kończył działanie wystąpił reset kompa. Nie wiem czy log będzie kompletny bo w głownym katalogu nie było tylko znalazłem go w katalogu c:\Combofix.

 

Jak ponownie uchomiłem kompa to zauważyć się dało, że znacznie szybciej chodzi i nie ma juz tego diabełka w Alt+tab i pojawiło się centrum zabezpieczeń w trayu.

 

Uruchomienie GMERA to znowu BSOD. Ale po drugiej próbie poszedł i jest kompletny log.

 

 

ComboFix.txt

gmer_nowy.txt

[Landuss]

Sytuacja uległa poprawie ale nadal jest tutaj poważna infekcja rootkitem TDL w wariancie z podwójną modyfikacją:

 

File     C:\WINDOWS\system32\DRIVERS\mouclass.sys                           suspicious modification

File C:\WINDOWS\system32\drivers\nvidesm.sys suspicious modification

 

+ infekcja na sterownikach systemu ndis.sys + aec.sys. Teraz dalsze usuwanie.

 

1. Pobierz obydwa zainfekowane sterowniki pod Windows XP SP2 zgodnie z twoim systemem: KLIK.

Obydwa pliki wypakuj i umieść bezpośrednio na dysku C:\

 

2. Wklej do notatnika taki tekst:

 

TDL::
C:\WINDOWS\system32\DRIVERS\mouclass.sys
 
FCopy::
C:\ndis.sys | C:\windows\system32\dllcache\ndis.sys
C:\ndis.sys | C:\windows\system32\drivers\ndis.sys
C:\aec.sys | C:\windows\system32\dllcache\aec.sys
C:\aec.sys | C:\windows\system32\drivers\aec.sys
 
Mia::
C:\WINDOWS\system32\grpconv.exe
 
File::
C:\WINDOWS\system32\drivers\kbxrr.sys
C:\WINDOWS\system32\drivers\mxuhbaqh.sys
 
Folder::
C:\Documents and Settings\DOMOWY\Dane aplikacji\Extensions
C:\Documents and Settings\DOMOWY\Dane aplikacji\{H3QR9S90-S0MH-DFS5-6CQW-H79I45QT}
C:\Documents and Settings\DOMOWY\Dane aplikacji\{XNYU4L5G-8V69-4XS9-92XB-H215XM11}
C:\Documents and Settings\DOMOWY\Dane aplikacji\{1R86IJ4Q-WHI0-QC4H-8FTN-9A2652YS}
 
Driver::
kbxrr
mxuhbaqh

 

Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób:

 

 

3. Prezentujesz wynikowy log z ComboFix oraz nowe logi z Gmer + OTL.

 

 

 

[tomo]

Pobrałem pliki ale nie moge ich wypakować bo dostaje komunikat że dysk jest pełny. Zmieniłem w archuwim nazwy pliku dodajac 1 na koncu i wypakowalem takie i zapisalo. Poprawilem tez w skrypcie ale nie wiem czy tak mozna ze w tej sekcji FCopy dalem plik zrodłowy ndis1.sys a wynikowy ndis.sys. Czy nazwa sie odpowiednio zmieni?

 

W czasie uruchamiania Combofix wyrzuca jeszcze że nie może odnaleźć pliku grpconv.exe.

 

Jak odpalilem Combofix z takim skryptem to wyrzuca komunikat ze wykrył rootkita i restart i potem chwile idzie i BSOD. Udało się jedynie jak uruchomienie ponowne puściłem w trybie awaryjnym.

 

Ale udało się i Combofix przeszedł cały i log stworzył kompletny.

 

Przepuściłem potem Gmera i OTL wg wskazówek.

 

Logi poniżej:

 

ComboFix.txt

gmer_nowy_2.txt

Extras.Txt

OTL.Txt

[Landuss]

W czasie uruchamiania Combofix wyrzuca jeszcze że nie może odnaleźć pliku grpconv.exe.

 

Wiem o tym i dałem odpowiednie polecenie, które miało plik przywrócić, ale widocznie się to nie powiodło.

W takim razie pobierz ten plik i umieść w katalogu C:\windows\system32: KLIK

 

Pobrałem pliki ale nie moge ich wypakować bo dostaje komunikat że dysk jest pełny. Zmieniłem w archuwim nazwy pliku dodajac 1 na koncu i wypakowalem takie i zapisalo. Poprawilem tez w skrypcie ale nie wiem czy tak mozna ze w tej sekcji FCopy dalem plik zrodłowy ndis1.sys a wynikowy ndis.sys. Czy nazwa sie odpowiednio zmieni?

 

Nazwa tak naprawde nie ma większego znaczenia bo nie o nazwe tu chodzi lecz o sam plik i jego zawartość. Wygląda, że operacja się powiodła. ComboFix już zostawiamy i teraz jeszcze pójdzie skrypt przez OTL.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKU\.DEFAULT..\Run: [efffggsys]  File not found
O4 - HKU\S-1-5-18..\Run: [efffggsys]  File not found
O4 - HKU\S-1-5-21-1659004503-343818398-725345543-1003..\Run: [NetLog2] C:\WINDOWS\svc2.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: wa0ub = C:\DOCUME~1\DOMOWY\USTAWI~1\Temp\u2lj.exe File not found
 
:Files
C:\WINDOWS\svc2.exe
 
:Services
cpuz132
catchme
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

2. Przeskanuj jeszcze plik C:\windows\system32\userinit.exe na skanerze Virus Total i wklej z niego wyniki.

 

 

 

[tomo]

Plik przekopiowałem.

 

Wykonałem skrypt. Po ponownym uruchomieniu kompa w czasie startowania Windowsa BSOD. I tak chyba z 6 razy a potem sie uruchomił.

 

Potem jak sie uruchomił to już ok.

 

Skan z OTL zrobiłem.

 

 

Strona virustotal nie działa obecnie.

 

OTL.Txt

Extras.Txt

 

otl_wykonanie_skryptu.txt

 

 

Nadal wyskakuje po uruchomieniu kompa, że chce uruchomić IE. I pyta czy przywrócić poprzednią sesję czy otworzyć od nowa. Ale ja normalnie zamykam IE jak w ogóle z niego korzystam. NIe wiem co z tym jest. No i w C: jest nadal plik 2008.exe a w C:\windows plik svc2.exe.

[Landuss]

W takim razie ponownie zastosuj ComboFix i wklej log. Wykonaj też skan Malwarebytes Anti-Malware i wklej raport.

[tomo]

Wrzucam na razie skan z Malwarebytes Anti-Malware.

 

Combofix wrzuce jak mi sie uda uruchomić tak że pojdzie do końca bo teraz znowu BSOD wywala podczas skanowania. Raz zanim pojdzie restart po komunikacie ze wykryl rootkita, raz po restarcie. Próbuje. A może zamieścić zrzut pamięci moze coś pomoże.

 

Malwarebytes.txt

 

Udało mi się uruchomić Combofix w trybie awaryjnym i poszedł do końca. Log poniżej.

 

ComboFix_2.txt

 

 

I jeszcze skan userinit.exe z Virustotal

 

Antivirus results

AhnLab-V3 - 2010.08.25.00 - 2010.08.24 - -

AntiVir - 8.2.4.38 - 2010.08.24 - TR/Dropper.Gen

Antiy-AVL - 2.0.3.7 - 2010.08.23 - Trojan/Win32.Swisyn.gen

Authentium - 5.2.0.5 - 2010.08.24 - -

Avast - 4.8.1351.0 - 2010.08.24 - -

Avast5 - 5.0.594.0 - 2010.08.24 - -

AVG - 9.0.0.851 - 2010.08.24 - Dropper.Generic.BZRW

BitDefender - 7.2 - 2010.08.25 - Trojan.Generic.3914100

CAT-QuickHeal - 11.00 - 2010.08.24 - -

ClamAV - 0.96.2.0-git - 2010.08.24 - -

Comodo - 5848 - 2010.08.24 - -

DrWeb - 5.0.2.03300 - 2010.08.25 - Trojan.MulDrop.34168

Emsisoft - 5.0.0.37 - 2010.08.24 - Trojan-Downloader.Win32.Isnev!IK

eSafe - 7.0.17.0 - 2010.08.24 - -

eTrust-Vet - 36.1.7814 - 2010.08.24 - -

F-Prot - 4.6.1.107 - 2010.08.24 - -

F-Secure - 9.0.15370.0 - 2010.08.25 - Trojan.Generic.3914100

Fortinet - 4.1.143.0 - 2010.08.24 - -

GData - 21 - 2010.08.24 - Trojan.Generic.3914100

Ikarus - T3.1.1.88.0 - 2010.08.24 - Trojan-Downloader.Win32.Isnev

Jiangmin - 13.0.900 - 2010.08.23 - Trojan/Swisyn.jju

Kaspersky - 7.0.0.125 - 2010.08.24 - -

McAfee - 5.400.0.1158 - 2010.08.24 - Suspect-D!7F9C2B666148

McAfee-GW-Edition - 2010.1B - 2010.08.24 - -

Microsoft - 1.6103 - 2010.08.24 - -

NOD32 - 5394 - 2010.08.24 - a variant of Win32/Small.NHS

Norman - 6.05.11 - 2010.08.24 - W32/Suspicious_Gen2.KXCE

nProtect - 2010-08-24.01 - 2010.08.24 - Trojan/W32.Agent.25088.EL

Panda - 10.0.2.7 - 2010.08.24 - -

PCTools - 7.0.3.5 - 2010.08.24 - -

Prevx - 3.0 - 2010.08.25 - -

Rising - 22.62.01.04 - 2010.08.24 - Trojan.Win32.Nodef.abn

Sophos - 4.56.0 - 2010.08.24 - -

Sunbelt - 6786 - 2010.08.24 - Trojan.Win32.Generic!BT

SUPERAntiSpyware - 4.40.0.1006 - 2010.08.24 - -

Symantec - 20101.1.1.7 - 2010.08.24 - -

TheHacker - 6.5.2.1.355 - 2010.08.24 - Trojan/Small.nhs

TrendMicro - 9.120.0.1004 - 2010.08.24 - -

TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.24 - -

VBA32 - 3.12.14.0 - 2010.08.24 - Trojan.Win32.Swisyn.ahfm

ViRobot - 2010.8.24.4005 - 2010.08.24 - -

VirusBuster - 5.0.27.0 - 2010.08.24 - -

File info:

MD5: 7f9c2b6661488bd6bd483dd4ce0c8b46

SHA1: 79ce01aec7b11b71314843a073fff7b08215d6e6

SHA256: a875f2823e548912de6072ad4504e63c30b0e4aca0ada20152e01831dc7b1a15

File size: 25088 bytes

Scan date: 2010-08-24 22:34:56 (UTC)

[picasso]

1. Większość wyników z MBAM jest mało istotna. Kwarantanny narzędzi (C:\_OTL, C:\Qoobox, ...\DoctorWeb\Quarantine) się nie liczą, to miejsca już wyizolowane. Czyszczenie folderów Przywracania systemu (System Volume Information) jest przeznaczone na sam koniec. Pojawia się tam ważna wzmianka o wartości userinit w rejestrze:

 

Zainfekowane informacje rejestru systemowego:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Rogue.Antivirus2010) -> Data: c:\windows\system32\userinit.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Rogue.Antivirus2010) -> Data: system32\userinit.exe -> No action taken.

 

2. ComboFix namolnie powtarzał w "poprzednim uruchomieniu" fazę z userinit.exe:

 

-- Poprzednie uruchomienie --
 
Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono 
Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe 

 

Podałeś pod logiem wynik skanu pliku userinit.exe dowodujący infekcję w pliku. Jeśli to skan pliku już po ukończeniu pracy ComboFix, podmiana pliku jest niepomyślna. Wskazuje na to także sekcja sprawdzania sygnatur, która listuje dwa pliki, userinit.exe oraz sfcfiles.dll od Ochrony plików, oba mające złą sumę kontrolną a userinit.exe dodatkowo wyzerowaną wersję:

 

------- Sigcheck -------
 
[-] 2008-04-14 . 2A5B37D520508BE6570A3EA79695F5B5 . 26624 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\userinit.exe
[-] 2004-08-03 21:44 . 7F9C2B6661488BD6BD483DD4CE0C8B46 . 25088 . . [------] . . c:\windows\system32\userinit.exe
[7] 2004-08-03 . BD768099B4C44AA631728CB74EB54396 . 25088 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\userinit.exe
 
[-] 2008-04-14 . A9ED600F08A92143253C10EDB5651ECF . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\sfcfiles.dll
[-] 2008-02-23 . 44A87287F63395AE9E7950D266A73160 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

 

Pliki główne będziemy podmieniać ręcznie, natomiast cały folder c:\windows\SoftwareDistribution\Download opcjonalnie możesz spokojnie skasować przez SHIFT+DEL z dysku, tam są po prostu pobierane łaty z Windows Update i miejsce ma charakter tymczasowy przed docelową instalacją aktualizacji. Nie jest Ci to potrzebne, łatki się pobiorą potem od nowa, nie wspominając o tym, że tu od razu będziemy nakładać SP3, jeśli system przejdzie fazę leczenia.

 

***********************************************

 

 

1. Pobierz czyste pliki w wersjach SP2 (zgodnie z nagłówkiem Twoich logów) i ulokuj je na C:\: KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

FCopy::
C:\sfcfiles.dll | c:\windows\system32\sfcfiles.dll
C:\sfcfiles.dll | c:\windows\system32\dllcache\sfcfiles.dll
C:\userinit.exe | c:\windows\system32\userinit.exe
C:\userinit.exe | c:\windows\system32\dllcache\userinit.exe
 
File::
c:\documents and settings\LocalService\Dane aplikacji\mbsvil.dat
c:\documents and settings\NetworkService\Dane aplikacji\mbsvil.dat
c:\windows\system32\config\systemprofile\Dane aplikacji\mbsvil.dat
 
RegLock::
[HKEY_USERS\S-1-5-21-1659004503-343818398-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

[Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach]

 

3. Do prezentacji: log powstały z procesu usuwania ComboFix oraz nowy log z GMER.

 

 

 

 

 

.

[tomo]

Zrobiłem wszystko wg instrukcji.

 

Tym raem był problem z Gmerem. Nie udało mi sie go uruchomic w normalnym trybie. Zakazdym razem BSOD po kliknieciu na ikone. Nawet sie okienko nie pokazywalo. W awaryjnym poszedl gladko.

 

W glownym katalogu C dalej jest plik 2008.exe, i podczas startu dalej komunikat o niezakończonej sesji IE.

 

 

ps. nie wiem czemu ale nie moge dodac zalacznikow. Dostaje komunikat: NIe wybrano plików do wgrywania. Dlatego daje linki do logow na wklej.org.

 

Zalaczylem jeszcze minidump z restartu gmera.

 

combofix

gmer

 

minidump

[picasso]

Pliki podstawiły się w prawidłowy sposób. Zanikły wszystkie odczyty sygnaturowe w ComboFix. I ja tu nic więcej nie widzę. Skoro nadal są objawy infekcji, tajemnicza praca IE w tle i nawroty usuwanych plików, sprawdź jeszcze odczyty z sektora rozruchowego, czyli podaj log z MBRCheck. Jeśli w owym logu nic się nie pokaże, to sięgniemy po któryś skaner automatyczny, być może od pierwszego kopa w środowisku całkowicie zewnętrznym przy niezaładowanym Windows.

 

Natomiast zrzut pamięci podczas uruchamiania GMER niestety nie daje mi żadnych informacji. W stacku jest sterownik GMER, a jako przyczyna jądro jako takie (co zazwyczaj nie jest przyczyną bezpośrednią).

[tomo]

Po uruchomieniu MBRCheck system kompletnie się zawiesza w momencie jak narzędzie ma pokazać MBR Status. Kursor parę razy mignie i następuje zwis. W trybie awaryjnym też. Po zawieszeniu kontrolka od dysku cały czas świeci.

[picasso]

Skłaniam się do tego, że coś może być w MBR, ale to na razie tylko przypuszczenia po powierzchownych znakach.

 

1. Skoro MBRCheck się wiesza, ostatecznie mógłbyś jeszcze spróbować jakie wyniki poda ten drugi program (Bootkit Remover), choć jest on starszy i mniej rozwinięty. A jeśli i to zawiedzie, skanowanie z zewnątrz:

 

2. Wstępnie uprzątnij podstawowe kwarantanny i kopie, by skaner nie wyszukiwał czegoś co nie gra tu roli. Przez SHIFT+DEL skasuj z dysku foldery C:\Qoobox i C:\_OTL. Pobierz i wypal na CD płytę Kaspersky Rescue Disk. Zastartuj z niej, dokonaj aktualizacji sygnatur i wykonaj pełny skan systemu. Zapisz wyniki, bo po zbootowaniu ponownie do Windows muszę mieć pełny raport z działania skanera.

[tomo]

Bootkit Remover

© 2009 eSage Lab

www.esagelab.com

 

Program version: 1.1.0.0

OS Version: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600

)

 

System volume is \\.\C:

\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00

Boot sector MD5 is: 5792afe8a152cb642f1b5a62fc36d86e

 

Size Device Name MBR Status

--------------------------------------------

74 GB \\.\PhysicalDrive0 Unknown boot code

 

Unknown boot code has been found on some of your physical disks.

To inspect the boot code manually, dump the master boot sector:

remover.exe dump <device_name> [output_file]

To disinfect the master boot sector, use the following command:

remover.exe fix <device_name>

 

 

Done;

Press any key to quit...

[picasso]

"Unknown boot code", jak w opisie zaznaczyłam, nie jest wynikiem jednoznacznym, choć mam podejrzenie, że tu akurat może to być infekcja, bo mi pasują objawy (szczególnie ten tłowy Internet Explorer). Czy to komputer typu OEM, czy przy starcie komputera pojawia się jakaś plansza producenta z dostępem do szczególnych narzędzi serwisowych, czy montowałeś jakieś niedomyślny menedżer rozruchu? Mimo wszystko proponuję przepisanie MBR.

 

1. Zgodnie z instrukcją w opisie Bootkit Remover przeprowadź usuwanie i wdróż komendę remover fix \\.\PhysicalDrive0.

 

2. Restart systemu i wytwórz ponownie log z Bookit Remover. Spróbuj także sprawdzić czy po tej operacji nie zacznie przypadkiem działać MBRCheck....

 

 

 

.

[tomo]

Komputer to zwykły składak. Nie ma żadnych plansz podczas startu. Normalnie bios a potem start systemu. Płyta to Epox 8rda+. Nie było montowanego żadnego menadzera rozruchu.

 

MBRCheck nadal nie działa. A poniżej log z Bootkit Remover.

 

 

 

Bootkit Remover

© 2009 eSage Lab

www.esagelab.com

 

Program version: 1.1.0.0

OS Version: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600

)

 

System volume is \\.\C:

\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00

Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd

 

Size Device Name MBR Status

--------------------------------------------

74 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)

 

 

Done;

Press any key to quit...

[picasso]

Zresetowałeś oczywiście system? Aktualne wyniki z Bootkit Remover poświadczają pomyślne nadpisanie kodu, stan "Unknown boot code" zmienił się w "DOS/Win32 Boot code found". Czy po tej operacji nadal się zgłasza samoczynnie uruchamiany Internet Explorer? Wytwórz nowe logi z OTL i w miarę możliwości GMER.

[tomo]

Po uruchomieniu Bootkit Remover i z linni polecen MBR sie nadpisał i system sam się zresetował. Pokazało się zielone ok i tak jakbym zresetował przyciskiem. Żadnego zamykania systemu czy coś.

 

oto nowe logi:

gmer5.txt

OTL.Txt

Extras.Txt

 

Gmer niestety z awaryjnego. W normalnym nie moge uruchomić.

 

Co do IE to dalej to samo, (tak to wyglada - )

 

 

a także plik 2008.exe na c:\ i svc2.exe w procesach.

 

Cięzki przypadek tej mój komp.

[picasso]

Niestety, infekcja trwa i ciągle chodzi o te same obiekty. Plik userinit.exe znowu został podstawiony, wskazuje na to brak sygnatury MS w tej linii O20:

 

O4 - HKU\S-1-5-21-1659004503-343818398-725345543-1003..\Run: [NetLog2] C:\WINDOWS\svc2.exe ()
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe ()
 
[2010-08-25 16:13:03 | 000,212,347 | ---- | C] () -- C:\2008.exe
[2010-08-25 10:24:34 | 000,212,347 | ---- | C] () -- C:\WINDOWS\svc2.exe
 
 
========== Files - Modified Within 30 Days ==========
 
[2010-08-25 10:15:21 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts

 

Wnioskuję, że tu musi być coś ukrytego, czego logi nie potrafią pokazać. W takim układzie proponuję to o co już wcześniej zagaiłam: skan w izolowanym środowisku z poziomu płyty Kaspersky Rescue Disk. Przedstaw wyniki skanu.

 

 

 

.

[snemelk]

Wnioskuję, że tu musi być coś ukrytego, czego logi nie potrafią pokazać.

To całkiem nowa infekcja - prawie zupełny brak szczegółów... Generalnie "loader" jest w MBR...

 

Jeśli dobrze widzę, powinno pójść dosyć gładko poprzez Konsolę Odzyskiwania (którą CF zainstalował) - fix MBR, podmiana pliku userinit.exe, usunięcie pozostałych plików... + posprzątanie już w działającym systemie... Zobaczymy, będę trzymał kciuki...

 

PS. ew. najpierw backup istniejącego MBR oraz rejestru, na wszelki wypadek...

[tomo]

Wykasowałem _OTL oraz Qoobox.

 

Odpaliłem płyte Kasperskyego

 

Zrobiłem krótkie skanowanie bez dysku C: oraz razem z dyskiem C:

 

Kaspersky_mini.txt

kaspersky_full.txt

[picasso]

snemelk

 

W takiej sytuacji to może lepiej robić nadpis MBR z poziomu medium zewnętrznego (Konsola bootuje jednak z twardego). Poza tym, kopia zapasowa MBR i nadpis MBR w jednym implikuje użycie innego narzędzia potrafiącego wykonać wszystkie zadania.

 

 

tomo

 

Kaspersky nie widzi nic poza tym co już wiemy, czyli czeka nas wykonanie ponownej operacji nadpisu sektora rozruchowego.

 

 

PRZYGOTOWANIA:

 

1. Pliki do pobrania:

 

• Czysta kopia pliku userinit.exe. Już ode mnie dostałeś paczkę z plikami. Pobierz ją ponownie, bo userinit.exe umieszczony w root C został skasowany przez ComboFix. Plik sobie rozpakuj na C, tak jak poprzednio.
  
• Program MbrFix, który jest przystosowany do pracy w środowisku PE. Plik MbrFix.exe umieść bezpośrednio w głównej ścieżce dysku C.
  
• Płyta OTLPE. Za pomocą tej płyty wykonasz usuwanie infekcji i nadpis MBR via MbrFix.
  

2. Skrypt do przepuszczenia przez OTLPE. Otwórz Notatnik i wklej w nim:

 

:Files
C:\WINDOWS\system32\userinit.exe|C:\userinit.exe /replace
C:\WINDOWS\system32\dllcache\userinit.exe|C:\userinit.exe /replace
C:\WINDOWS\svc2.exe
C:\2008.exe
 
:Commands
[resethosts]

 

Z menu Notatnika > Plik > Zapisz jako FIX.TXT > plik umieść na C:\

 

 

 

AKCJA Z POZIOMU OTLPE:

 

Zastartuj z płyty OTLPE i wykonaj z jej poziomu następujące operacje:

 

1. Podąż za wskazówkami z opisu, tzn. uruchom program OTL. Kliknij w Run Fix. Padnie pytanie o wskazanie pliku skryptu. Wskaż plik FIX.TXT, który zmontowałeś. Z usuwania powstanie log i zachowaj go do wglądu. Po ukończeniu pracy narzędzia zamknij OTL. Nie resetuj systemu.

 

2. W OTLPE kliknij w buttonik "Start" > Run > wpisz CMD. Linia komend otworzy się na literze Ramdisku. Zmień ścieżkę na dysk systemowy wpisując po prostu literę dysku z dwukropkiem i ENTER:

 

C:

 

Wpisz komendę zrzucenia MBR do kopii zapasowej:

 

MbrFix /drive 0 savembr C:\mbr.bin

 

Wpisz komendę nadpisu MBR nowym kodem:

 

MbrFix /drive 0 fixmbr /yes

 

 

Zamykasz okno CMD i resetujesz system ....

 

 

 

AKCJA Z POZIOMU WINDOWS:

 

Jeśli wszystko wykona się poprawnie, bez przeszkód powinieneś wejść do Windows i dostarczyć materiały do analizy:

 

1. Wytwórz nowy zestaw logów OTL + GMER (o ile się uda). Spróbuj także uruchomić MBRCheck, a jeśli z tym będzie problem to podaj status wyciągnięty z narzędzia Bootkit Remover. Dorzuć log powstały z usuwania OTLPE.

 

2. Zapisaną kopię zapasową MBR C:\mbr.bin zapakuj do ZIP, shostuj gdzieś i na PW prześlij mi link z tą paczką.

 

 

 

 

 

.