ubunoir Opublikowano 26 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 Witam, To świństwo przybyło prawdopodobnie na obcym pendrivie (nie mam już do niego dostępu). Objawy: - Brak dostępu do internetu we wszystkich aplikacjach poza Internet Explorerem. Wygląda to, jakby był blokowany cały ruch na porcie 80. - Zablokowany Task Manager oraz Regedit. Można doraźnie naprawić tę sytuację w rejestrze (DisableTaskMgr, DisableRegistryTools), ale po krótkim czasie następuje ponowne nadpisanie wspomnianych kluczy. - Na wszystkich dyskach (lokalnych i zewnętrznych USB) instalowane są pliki autorun.inf wraz z exe/pif o zmiennych nazwach (np. pdawk.exe, cntph.exe). Autoruna takiego nie da się usunąć, dopóki nie zkilluje się procesu, który trzyma do nich uchwyt - a jest to za każdym razem inny proces, ale spośród procesów, które zazwyczaj są normalnymi, zdrowymi programami (nie udało mi się namierzyć jakichś nowych podejrzanych nazw procesów). Po usunięciu autoruna za chwilę jest tworzony nowy. - Nie działa tryb awaryjny przez F8: podczas ładowania wyskakuje blue screen i komp się resetuje. - Nie działa Norton Internet Security. Skanowałem system programami Malwarebyte's Anti-malware i SuperAntiSpyware (ten drugi już przestał działać). Malwarebyte znalazł wirusy: Malware.Packer.Gen i Trojan.Agent, a SAS - Trojan.Agent/Gen-Packed i Trojan.VXGame-Variant/D. Niestety po usunięciu zainfekowanych plików i reboocie, sytuacja ani na jotę się nie poprawia. Załączam zestaw logów ze wspomnianych antywirusów oraz z USBFix-a, OTL-a i GMER-a. OTL.Txt Extras.Txt UsbFix.txt gmer1.txt mbam-log-2010-08-25 (02-59-32).txt SUPERAntiSpyware Scan Log - 08-25-2010 - 21-52-22.txt Odnośnik do komentarza
picasso Opublikowano 26 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 Co dopiero w temacie niżej pisałam KLIK. Wszystko wskazuje na to, że i Ty masz niestety infekcję wykonywalnych wszystkich dysków Sality. Poświadcza to: rootkit-usługa rhklm.sys (amsint32) widzialna w GMER i OTL, charakterystyczne nawroty blokad rejestru i menedżera, skasowany tryb awaryjny i pady programów. DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\rhklm.sys -- (amsint32) Prócz Sality błąkają się i inne elementy, ale Sality to priorytet, ponieważ nie jest nawet wiadome jak bardzo masz zniszczony system. Na pewno wszystkie programy, które działały a przestają, są już zainfekowane wirusem i tu już można tylko podjąć próbę leczenia plików, a przy jej zawodności wyrzucenie programów z dysku. Podaję na teraz dwie metody ratunkowe: 1. (Mniej skuteczne) leczenie spod działającego systemu: SalityKiller (on także znosi polisy rejestru i rekonstruuje tryb awaryjny). 2. (Efektywniejsze) leczenie z poziomu startowej płyty, do wyboru kilka i może być to sama stajnia tzn. Kaspersky Rescue Disk (KLIK). Rozpocznij od prostszego wariantu, a po użyciu Killera wykonaj nowy zestaw logów do oceny..... . Odnośnik do komentarza
ubunoir Opublikowano 28 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2010 Faktycznie.. SalityKiller miał dużo do roboty! Ale niby wszystko udało mu się wyleczyć i po reboocie program odpalony z opcją monitoringu ("SalityKiller.exe -m") nie pokazuje już żadnych zagrożeń. Z tym, że część programów (antywirusy np., total commander) nadaje się tylko do wyrzucenia. Odpaliłem także Disable_autorun.reg oraz SafeBootWinXP.reg z pakietu Sality_RegKeys, dzięki czemu mam już dostęp do trybu awaryjnego. Niestety dalej nie mam dostępu do internetu, poza trybem awaryjnym, w którym nie ma tego problemu. Oto zestaw nowych logów z OTL i Gmera. Ten drugi tym razem wykrył rootkita w dwóch plikach: savedump.exe i symantecowym AUPDATE.EXE. OTL2.Txt gmer2.txt Odnośnik do komentarza
picasso Opublikowano 28 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2010 Mam wątpliwości, czy Sality jest zabity, bo nadal jest tu jego usługa (choć w GMER jej nie widzę już): DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\rhklm.sys -- (amsint32) Zapomniałeś podać aktualny log z USBFix, toteż nie podejmuję teraz czyszczenia USB, bo nie wiem jak się zmieniła sytuacja. Natomiast na dysku C widzę tych delikwentów: [2010-08-27 23:24:37 | 000,033,508 | RHS- | M] () -- C:\ooftvp.exe[2010-08-27 23:19:31 | 000,033,508 | RHS- | M] () -- C:\hvybm.pif 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\rhklm.sys -- (amsint32) [2010-08-27 23:24:37 | 000,033,508 | RHS- | M] () -- C:\ooftvp.exe [2010-08-27 23:19:31 | 000,033,508 | RHS- | M] () -- C:\hvybm.pif :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""=- :Commands [emptyflash] [emptytemp] Rozpocznij proces usuwania przez Wykonaj skrypt. Po restarcie systemu otrzymasz z tego log. 2. Odmontuj Symantec, pomocą służy Norton Removal Tool. Następnie wszystkie niedziałające programy. Przeprowadź również demontaż wszystkich Java za pomocą JavaRa, potem nadpiszesz najnowszą wersją. 3. Po tych wszystkich zadaniach wygeneruj nowy komplet logów, włączając USBFix z opcji Listing przy podpiętym urządzeniu USB. Dodaj log z usuwania powstały w punkcie 1. . Odnośnik do komentarza
ubunoir Opublikowano 29 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2010 Jest coraz lepiej. Po wywaleniu Nortona wrócił intenet. OTL_skrypt1.txt JavaRa.txt UsbFix2.txt OTL3.Txt gmer3.txt Odnośnik do komentarza
picasso Opublikowano 30 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2010 (edytowane) Ogólnie już dobrze, czynnej infekcji nie widzę. W USBFix wyłowiłam serię plików, która co dopiero zapisała się na partycji Recovery i to wygląda na miot infekcyjny: [27/08/2010 - 23:50:53 | RSH | 33508] E:\cbxm.pif[27/08/2010 - 23:50:54 | A | 1191936] E:\Info.exe[27/08/2010 - 23:51:28 | RSH | 29412] E:\sdux.exe Dodatkowo, jest mi nieznana zawartość katalogu Kosza na urządzeniu USB, a folder jest modyfikowany w bliskim zakresie czasowym: [19/06/2010 - 16:25:22 | SHD ] G:\Recycled W OTL zaś jedynie drobne odpadki po deinstalacjach. Wszystkie zadania złączę w jeden skrypt. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files E:\cbxm.pif E:\Info.exe E:\sdux.exe G:\Recycled :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Harmonogram automatycznej usługi LiveUpdate) DRV - File not found [Kernel | Unknown | Running] -- -- (SASKUTIL) DRV - File not found [Kernel | Unknown | Running] -- -- (SASDIFSV) O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - No CLSID value found. O4 - HKLM..\RunOnce: [] File not found Jak poprzednio: Wykonaj skrypt. Tym razem jednak nie będzie restartu. Wystarczy, że pokażesz tylko ten log z usuwania. 2. Pozbądź się kopii usuwanych obiektów i flaków narzędzi. W OTL wywołaj funkcję Sprzątanie. Odinstaluj USBFix i SalityKiller. 3. Przeprowadź zerowanie zawartości katalogów Przywracania systemu: INSTRUKCJE. 4. Przeprowadź generalny skan systemu, trzymając się jednej stajni możesz skorzystać z Kaspersky Virus Removal Tool 2010. Raport końcowy przedstaw do oceny. . Edytowane 17 Października 2011 przez picasso 30.09.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi