Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Win32/Bamital.EC

Andriej

Przez Andriej
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Andriej

Andriej

Opublikowano
Opublikowano

Witam, ostatnio robiłem reinstal systemu, jeden z trzech dysków dogłębnie formatowałem. Dwa pozostałe przeskanowałem NOD32 i SpyHunter 4. Wszystko było ok. Było. Wczoraj NOD32 z jakiś nieokreślonych powodów wskazał, że w c:\windows\explorer.exe oraz c:\windows\system32\winlogon.exe mam trojana Win32/Bamital.EC i nie może ich wyleczyć/ usunąć.W załączniku zamieszczam paczkę logów z SecurityCheck, Vba32arkit, OTL, SystemLook, RSIT, GMER, MBRCheck, DDS (nie udał się - dlaczego?), oraz ComboFix (zrobiłem log zanim przeczytałem, że może uszkodzić)

 

Problem jest z tymi dwoma plikami oraz czasem redirectem na adres:

hxxp://www1.approveguard.net/?p=p52dcWpnaV/Cj8bYboN6h1ik12qTYGeMnNah2qePglzHysd2lJN/el6orKWeXpWWZZNlbWtplJCIo6THodjXoGJdo3OL1cytnpl2Wp6dpJ6eU9rPlqdqWpuooWWbXmefW5SVmV9oa1zXxsl2mqitpHJjZ6CTp8nYoF6Qo59no5CfioS3pbDepGWErJ7Pr6qOrI2NjbCDjHvOerurY35xl2aFzpSViaqslrzOxlerpXOWk5tvZ2drbWxsXq3UX6GXY2hjaWVqnWGaVpPJarOwiaiglnOdlJU=

 

NOD32 wykrywa mi go jako : HTML/TrojanDownloader.FraudLoad.NAC.Gen koń trojański

 

Temat poruszyłem na 2 forach:

pcformat

dobreprogram

 

Posiadam system Windows XP SP 2, to chyba wszystkie wymagane informacje. Jeżeli ktoś ma jakieś pomysły jak sobie z tym poradzić byłbym wdzięczny :)

combofix.txt

post-881-070926800 1286538172_thumb.jpg

Extras.Txt

gmer.txt

MBRCheck_10.08.10_12.19.14.txt

OTL.Txt

securitycheck.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Log z Vba32ArkitLog jest kompletnie nieczytelny. RSIT (oraz DDS) jest zbędny, jeśli podajesz OTL. Nie mogę zrozumieć tej nowej maniery próśb na innych forach o duplikaty (np. OTL + RSIT). Wyszukiwanie w SystemLook nieco bezsensowne. Nadwyżkę zbędnych tu logów usuwam.

 

Bamital to infekcja w plikach wykonywalnych, zwykle zaraża te dwa które zostały u Ciebie wykryte (może być więcej plików zarażonych) oraz pliki uruchamiające przeglądarki. Pliki zarażone muszą zostać wymienione czystymi kopiami. Programy AV mogą sobie nie poradzić. ComboFix, tu uruchomiony na własną rękę, ma pewne predyspozycje do leczenia tego. Ale ComboFix również sobie nie poradził, bo nie znalazł czystych kopii plików systemowych, jest tylko adnotacja, że pliki są zarażone:

 

c:\windows\system32\winlogon.exe . . . jest zainfekowany!!
 
c:\windows\explorer.exe . . . jest zainfekowany!!

 

Pierwsza próba podmiany będzie spod Windows. Jeśli zawiedzie, zostają metody zewnętrzne.

 

1. Pobierz czyste kopie plików systemowych wyekstraktowane z SP2: KLIK. Pliki umieść w katalogu C:\Pliki.

 

2. Otwórz Notatnik i wklej w nim:

 

FCopy::
C:\Pliki\winlogon.exe | c:\windows\system32\winlogon.exe
C:\Pliki\winlogon.exe | c:\windows\system32\dllcache\winlogon.exe
C:\Pliki\explorer.exe | c:\windows\explorer.exe
C:\Pliki\explorer.exe | c:\windows\system32\dllcache\explorer.exe

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

cfscript.gif

 

[Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach]

 

3. Po ukończeniu pracy ComboFix pozbądź się z systemu wynalazków wątpliwej reputacji typu Spy Hunter czy Exterminate It. To nie są programy godne polecenia.

 

4. Do oceny: log powstały z pracy ComboFix oraz nowe logi z OTL i GMER.

 

DDS (nie udał się - dlaczego?)

 

Patrząc na zwrotny błąd, jest skonfigurowana w rejestrze polisa blokująca uruchamianie skryptów. To szczegół, do korekty na potem.

 

 

 

.

Odnośnik do komentarza
Andriej

Andriej

Opublikowano
  • Autor
Opublikowano (edytowane)
Log z Vba32ArkitLog jest kompletnie nieczytelny

 

Proszę usunąć rozszerzenie *.txt i pozostawić *.html :) wtedy powinien być czytelny ( blokada uploadowania załączników o tym rozszerzeniu mnie zmusiła do zmiany :P)

 

Wszystko wykonane wg instrukcji.

 

Z czego mój kochany pc prosił o włożenie płytki windowsowskiej - nie pobierał plików c:/pliki tylko z CD.

 

Ponadto' date=' po restarcie komputera (wywołanego przez ComboFix'a), system nie logował się - wyrzucił BSOD o treści:

 

[codeplain']STOP 0x000021a {Blad krytyczny systemu}

Proces systemowy WINDOWS Logon Process zakończył się niespodziewanie ze stanem 0xc0000005 (0x000000 0x000000)

System zostanie zamknięty.[/codeplain]

 

Użyłem konsoli, żeby przywrócić plik winlogon.exe komendą:

 

expand e:\i386\winlogon.ex_ C:\WINDOWS

 

System wystartował, jednakże NOD32 pokazuje to samo..

 

2010-10-08 16:08:45	Skaner przy uruchamianiu	plik	C:\WINDOWS\Explorer.EXE	Win32/Bamital.EC koń trojański	nie można wyleczyć	ANDY\Andriej	


2010-10-08 16:08:43	Skaner przy uruchamianiu	plik	C:\WINDOWS\system32\winlogon.exe	Win32/Bamital.EC koń trojański	nie można wyleczyć	ANDY\Andriej

 

Logi w załącznikach.

 

 

EDIT:

Użyłem konsoli przywracania systemu Windows - podmieniłem oba pliki w ich WŁAŚCIWYCH lokalizacjach, nod ucichł:)

Dziękuje za pomoc!

ComboFix.txt

OTL.Txt

gmer.txt

Edytowane przez Andriej
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)
Proszę usunąć rozszerzenie *.txt i pozostawić *.html :) wtedy powinien być czytelny ( blokada uploadowania załączników o tym rozszerzeniu mnie zmusiła do zmiany :P)

 

Wiem, ale ja nie będę otwierać rozszerzenia HTML z zainfekowanego systemu. Dlatego tu są celowo wyłączone takie rozszerzenia (dotyczy całego forum) .... Jedyny format, który uznaję za bezpieczny w dziale Malware, to czysty TXT, bez formatowania. I tylko takie raporty otwieram analizując tematy infekcji.

 

Z czego mój kochany pc prosił o włożenie płytki windowsowskiej - nie pobierał plików c:/pliki tylko z CD.

 

Ochrona plików systemu Windows będzie ignorować oczywiście C:\Pliki.

 

Użyłem konsoli, żeby przywrócić plik winlogon.exe komendą:

 

O ile dobrze przepisałeś, to zła komenda.... Wrzucasz plik do C:\WINDOWS a nie system32. Poza tym plik musi być wymieniony do dwóch lokalizacji na raz, także w dllcache, by Ochrona plików nie zrolowała podmiany. I mamy dwa pliki do podmiany. Czyli są 4 komendy do wdrożenia.

 

Podmiana plików nieskuteczna. Mówisz, że masz płytę CD XP, co sugeruje że można ją użyć do podmiany obu plików. Czy ta płyta ma status równy SP2? Nie może być status niższy niż zainstalowany Windows. Odpowiedz na pytanie.

 

 

EDIT 08.10.2010 16.06:

 

Użyłem konsoli przywracania systemu Windows - podmieniłem oba pliki w ich WŁAŚCIWYCH lokalizacjach, nod ucichł

 

Mogłeś edycję dodać już po moim poście. Jeśli podmiana plików się wykonała, to zostają porządki końcowe:

 

1. W Start > Uruchom > wklej polecenie "c:\documents and settings\Andriej\Pulpit\ComboFix.exe" /uninstall. To usunie kwarantannę ComboFix, jego komponenty oraz zresetuje cache Przywracania systemu.

2. Wyczyść lokalizacje tymczasowe przez TFC - Temp Cleaner.

3. Obowiązkowa aktualizacja Windows do stanu Service Pack 3 + Internet Explorer 8 (instalacja niezależnie od tego czy w ogóle go uruchamiasz, komponent zbyt zintegrowany z Windows).

 

 

 

.

Edytowane przez picasso
12.11.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...