Skocz do zawartości

Komputer zostal zablokowany z powodu naruszenia prawa polskiego


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Pokaż link do tematu, skąd Cię skierowano. Patrząc w raporty: rootkit ZeroAccess w starszej wersji (infekuje sterowniki systemowe), ale to wcale nie musi być tu najgorsze ... W modułach załadowane te oto obiekty, które mogą sugerować znacznie poważniejszą infekcję, czyli wirusa Virut (infekuje wszystkie pliki wykonywalne na wszystkich dyskach):

 

========== Modules (No Company Name) ==========

 

MOD - [2012-10-09 14:43:28 | 000,101,920 | ---- | M] () -- C:\WINDOWS\Temp\sE.tmp

MOD - [2012-10-09 14:43:16 | 000,137,728 | ---- | M] () -- C:\WINDOWS\Temp\VRTB.tmp

MOD - [2012-10-09 14:42:56 | 000,037,376 | ---- | M] () -- C:\WINDOWS\Temp\VRT3.tmp

 

Jako uzupełnienie w autoryzacjach zapory procesy systemowe winlogon.exe + svchost.exe (co sugeruje ich infekcję). Jeśli ten wirus zostałby tu zdowodowany, to kierunek otwiera się na format dysku. Poproszę o skan z GMER.

 

 

.

Odnośnik do komentarza

GMER podaje konkretne szczegóły jaki sterownik systemowy został zainfekowany przez rootkita ZeroAccess (mrxsmb.sys) oraz dowoduje czynnego wirusa Virut (liczne hooki biblioteki ntdll.dll, charakterystyczne dla tej infekcji). System jest bardzo poważnie zainfekowany, są dwie masywne infekcje (ZeroAccess + Virut) i różne poboczne, ale Virut najgorszy. Podejmuj decyzję co robimy: czy staramy się leczyć (to będzie ciężkie i wieloetapowe) czy od razu format całego dysku. Sugeruję format, ponieważ działania mogą tu być nieopłacalne. Uwaga:

 

- Mówimy o formacie całego dysku i wszystkich jego partycji, gdyż wirus atakuje wszystkie miejsca gdzie są pliki wykonywalne. Partycje są tu trzy:

 

Drive C: | 9,77 Gb Total Space | 5,97 Gb Free Space | 61,10% Space Free | Partition Type: NTFS

Drive D: | 32,37 Gb Total Space | 32,31 Gb Free Space | 99,80% Space Free | Partition Type: NTFS

Drive E: | 32,38 Gb Total Space | 29,67 Gb Free Space | 91,63% Space Free | Partition Type: NTFS

 

- Z dysku nie wolno zrobić kopii zapasowej plików wykonywalnych. Rozniosą wirusa po formacie, rozniosą wirusa na inne komputery.

 

Decyzja należy do Ciebie, przedstaw jaki kierunek działań mamy obrać.

 

 

.

Odnośnik do komentarza

Zdjęcia są niepewne. Virut może infekować też pliki JPG, DOC, PDF, HTML, RAR, ZIP. Może na początek zróbmy wstępne usuwanie i zobaczymy jakie są widoki. Przeprowadź następujące operacje i dokładnie w tej kolejności:

 

1. Uruchom VirutKiller. Po jednym przebiegu ponów operację. Skaner musi być uruchamiany tyle razy, aż przestanie wykrywać infekcję.

 

2. Uruchom Kaspersky TDSSKiller. Zostaw wszystkie akcje domyślnie dobrane przez narzędzie, zatwierdź leczenie, zresetuj system. Na dysku C powstanie log z usuwania.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowe logi z OTL + GMER. Dołącz log z Kasperskiego powstały w punkcie 2.

 

 

.

Odnośnik do komentarza

Brakuje raportu z GMER, który miałby potwierdzić czy ustały modyfikacje Virut. TDSSKiller załatwił rootkita ZeroAccess i tu tylko poprawki zostały. W OTL nie widać już Virutowych modułów, ale nadal wyleczenie nie jest tu potwierdzone na 100%. Poza tym, inne infekcje działają (nie tylko UKASH). Kolejna porcja zadań:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - [2012-10-09 20:51:57 | 000,194,560 | -HS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\drivers\[Filtr wulgaryzmów]ec.exe -- ([Filtr wulgaryzmów]ec)
SRV - [2012-09-23 19:27:36 | 000,000,115 | -H-- | M] () [Auto | Stopped] -- C:\Documents and Settings\Ja i nikt inny\Dane aplikacji\4q9qpd.bat -- (82cv9eew)
DRV - [2012-10-09 22:01:32 | 000,009,216 | ---- | M] () [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\mcsysx.sys -- (msfindsrv01)
O4 - HKLM..\Run: [bulirizkonyd] C:\Documents and Settings\All Users\bulirizkonyd.exe ()
O4 - HKLM..\Run: [C:\help\build.exe ] C:\help\build.exe ()
O4 - HKLM..\Run: [intel] C:\Documents and Settings\Ja i nikt inny\Dane aplikacji\Intel.exe ()
O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found
O4 - HKLM..\Run: [WUDFPlatform] C:\Documents and Settings\Ja i nikt inny\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3409\WUDFPlatform.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 50032 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msowuuucu.cmd ()
O20 - Winlogon\Notify\moperti: DllName - (C:\Documents and Settings\Ja i nikt inny\Ustawienia lokalne\Dane aplikacji\moperti.dll) - C:\Documents and Settings\Ja i nikt inny\Ustawienia lokalne\Dane aplikacji\moperti.dll ()
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={CC3A7E35-A310-4DB0-9EE9-E2BED9F86057}&mid=041e1150060147d0ac56d1681a8f7fc6-be65525dd3460e0600ab3e648315ae4922d85bca&lang=pl&ds=xn011&pr=sa&d=2012-10-07 00:13:32&v=12.1.0.20&sap=dsp&q={searchTerms}"
FF - prefs.js..browser.search.defaultenginename: "v9"
FF - prefs.js..browser.search.order.1: "v9"
 
:Files
C:\help
C:\WINDOWS\$NtUninstallKB38935$
C:\WINDOWS\System32\2n.dll
C:\WINDOWS\System32\a10qh5tz.dll
C:\WINDOWS\System32\a34fz1.dll
C:\WINDOWS\System32\ae2t.dll
C:\WINDOWS\System32\a1.dll
C:\WINDOWS\System32\a6qlpc.dll
C:\WINDOWS\System32\a2yq59.dll
C:\WINDOWS\System32\CleanUp.exe
C:\Documents and Settings\Ja i nikt inny\Dane aplikacji\*.exe
C:\Documents and Settings\Ja i nikt inny\uz.dat
C:\Documents and Settings\Ja i nikt inny\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3409
C:\Documents and Settings\Ja i nikt inny\Dane aplikacji\4q9qpd.bat
C:\Documents and Settings\Ja i nikt inny\Dane aplikacji\nightupdate
C:\Documents and Settings\Ja i nikt inny\Dane aplikacji\xtrclpj11iuebjzdenxybeagfc1mtnf3
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\LocalService\Dane aplikacji\Identities
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\sLT.exf
C:\Program Files\*.exe
C:\Documents and Settings\All Users\AVG Secure Search
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
 
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zatwierdź restart komputera.

 

3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034

 

4. Zrób nowy log OTL z opcji Skanuj oraz zaległy GMER. Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

Odnośnik do komentarza

Sprawa z Virutem nie jest rozwiązana do końca, o ile ustały hooki ntdll.dll, to GMER wskazuje na zmodyfikowany explorer.exe:

 

---- User code sections - GMER 1.0.15 ----

 

.reloc C:\WINDOWS\Explorer.EXE[1436] C:\WINDOWS\Explorer.EXE section is executable [0x010FB000, 0xA800, 0xE0000060]

 

Trudno też stwierdzić ile plików na dysku jest poszkodowanych ... I niestety nowe infekcje w logu OTL widzialne.

 

1. Uruchom zgodnie ze wskazówkami ComboFix.

 

2. Przedstaw log wynikowy, jaki utworzy.

 

 

 

.

Odnośnik do komentarza

Sprawa wygląda nie najlepiej. ComboFix tylko potwierdza, że explorer.exe i kilka innych plików jest zainfekowanych (żadnego z nich zresztą nie był w stanie podmienić czystą repliką), ale ComboFix sprawdza tylko wybrane pliki, rzeczywista ilość zainfekowanych bądź uszkodzonych leczeniem plików plików jest nie do określenia.

 

Proponuję format dysku. Ten kierunek naprawczy wybierany jest przeze mnie w podbramkowych sytuacjach. Uważam, że tu nie ma sensu się męczyć, a docelowo Windows może być jednak uszkodzony.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...