Skocz do zawartości

Wykryty rootkit - Win32.RmnDrp


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Suchy203, obawiam się, że jest tu dramatyczna sytuacja. W raportach ewidentny znak wirusa wykonywanych Ramnit. Pośredni znak jego pobytu to wpis Userinit zmodyfikowany, by kierować do desktoplayer.exe:

 

HKLM\...\Winlogon: [userinit] c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe

 

To wyjaśnia tak ogromną ilość zgłoszeń Avast, wszystkie pliki wykonywane na wszystkich dyskach są infekowane. Przygotuj się na format, co i tak będzie zaleceniem po ewentualnym wyleczeniu, gdyż trwałe uszkodzenia w plikach będą niemożliwe do oceny. Problem i w tym, że są tu trzy partycje, Ramnit atakuje wszystkie jak leci:

 

==================== Drives ================================

 

Drive c: () (Fixed) (Total:100.04 GB) (Free:47.75 GB) NTFS ==>[Drive with boot components (Windows XP)]

Drive d: () (Fixed) (Total:206.65 GB) (Free:117.19 GB) NTFS

Drive e: () (Fixed) (Total:159.07 GB) (Free:158.79 GB) NTFS

 

Czyszczenie spod uruchomionego systemu nie będzie skuteczne. Na innym niezainfekowanym systemie wypal płytę Kaspersky Rescue Disk i z niej przeskanuj ten system. Po skanie zgłoś się z wynikami (statystyki z Kasperskiego + wiadomość czy Avast nadal coś wykrywa) oraz nowymi raportami.

 

 

 

.

Odnośnik do komentarza

Nigdy nie miałem do czynienie z taką sytuacją. Co ciekawe Avast jest aktualizowany a problem pojawił sie zaraz jak włączyłem komputer, facebooka, poczte i allegro... A najlepsze jest to że nigdy nie formatowałem komputera i nawet nie mam żadnej płyty ze sklepu. No masakra jakaś. Biorę się do roboty..

 

Edit. Mam pytanie. Kaspersky przeskanował dysk C i D a teraz skanuje znowu dysk C. Od dłuższego czasu mam 99% i wyświetlają mi się komunikaty, tam gdzie jest możliwość klikam to co rekomendowane, tam gdzie nie mogę klikam delete. Dobrze robie? tak ma być?

Odnośnik do komentarza

Edit. Mam pytanie. Kaspersky przeskanował dysk C i D a teraz skanuje znowu dysk C. Od dłuższego czasu mam 99% i wyświetlają mi się komunikaty, tam gdzie jest możliwość klikam to co rekomendowane, tam gdzie nie mogę klikam delete. Dobrze robie? tak ma być?

Tu nie ma wyboru, wszystkie obiekty Ramnit muszą być zlikwidowane, a skoro nie jest możliwe leczenie, to usuwanie. Niestety nie wiem o jakie konkretnie pliki chodzi, akcja usuwania może tworzyć jakieś uszkodzenia w Windows czy programach. Ale jak mówię, nie ma tu wyboru. Nie jest też pewne czy w ogóle uda się powstrzymać tę infekcję, nawet skanując z poziomu środowiska zewnętrznego.

 

 

.

Odnośnik do komentarza

Np teraz mi wyskoczył obiekt c:/Windows/explorersrv.exe opcja delete i skip. Jak usunę coś z folderu Windows to komputer może nie wstać? I jak dodać te statystyki ? Teraz pisze już z normalnego trybu.

 

Dodaję nowe skany. Pełny skan Avastem znalazł tylko to co na zdjęciu, z tego co pamiętam było to zawsze fałszywe powiadomienie.

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

ScanObject.txt

post-33-0-81250000-1390312258_thumb.jpg

Odnośnik do komentarza

Wygląda na to, że infekcja ustała, gdyż modyfikacja UserInit nie jest widoczna. Przy czynnym wirusie Ramnit jest niemożliwe pozbycie się tego wpisu na stałe (wraca). Aplikacje, które zwrócą błędy uruchomienia, będą do przeinstalowania ze świeżych instalatorów.

 

Tylko drobne działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\80959357.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\80959357.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vsmon => ""="Service"
HKCU\...\Policies\Explorer: [NoSaveSettings] 0
S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [x]
C:\Documents and Settings\4\Dane aplikacji\BITS
C:\Documents and Settings\4\Dane aplikacji\FlashgetSetup
C:\Documents and Settings\4\Dane aplikacji\Mozilla\Firefox\extensions\{62d40876-df18-411f-9d34-a9dd7a197bc5}
C:\Documents and Settings\4\Dane aplikacji\PCToolsFirewallPlus
C:\Documents and Settings\4\Ustawienia lokalne\Dane aplikacji\CRE
C:\Documents and Settings\4\Ustawienia lokalne\Dane aplikacji\Google\Chrome
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\fssg
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\siwek\Dane aplikacji\BITS
Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh firewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Predstaw wynikowy fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

 

.

Odnośnik do komentarza

Dziękuję bardzo za pomoc  :cheer:  już się bałem tego formatu. Dodaję log.

 

Mam jeszcze pytanie, gdy chcę otworzyć plik i wybrać program przez który ma być otwarty wyskakuje mi "Z tym plikiem nie jest skojarzony program umożliwiający wykonanie tej czynności. Skojarz odpowiedni program, używając apletu Opcje folderów w Panelu sterowania" Opcje domyślne nie działają.

Fixlog.txt

Odnośnik do komentarza

Skrypt wykonany.

 

 

Mam jeszcze pytanie, gdy chcę otworzyć plik i wybrać program przez który ma być otwarty wyskakuje mi "Z tym plikiem nie jest skojarzony program umożliwiający wykonanie tej czynności. Skojarz odpowiedni program, używając apletu Opcje folderów w Panelu sterowania" Opcje domyślne nie działają.

O jakim pliku mowa (typ rozszerzenia)? I to może być niestety jeden ze skutków pobytu Ramnit, czyli trwałe uszkodzenie któregoś pliku Windows. Wyleczenie z infekcji, w rozumieniu zaprzestania jej czynności i wyleczenia / usunięcia plików, to połowa sukcesu, w systemie mogą powstać szkody... Z tego też powodu opcja format i tak nie jest tu jeszcze wykluczona.

 

 

 

.

Odnośnik do komentarza

Chodzi mi o dwa typy rozszerzeń. Pierwszy to mp3, Gdy kliknę prawym->otwórz za pomocą->wybierz program, to mi wyskakuje to powiadomienie jak wyżej. Gdy biorę samo Otwórz - plik się odtwarza. Drugi błąd (ten na screenie)  objawia się tym gdy chcę włączyć muzyke przez AIMP3, rozumiem przeinstalować. I gdy chciałem otworzyć plik z rozszerzeniem .cfg w notatniku (żeby zedytować) też mi wyskoczył komunikat jak w pierwszej sytuacji.

post-33-0-70312500-1390408565_thumb.jpg

Odnośnik do komentarza

No cóż, błędy "nie jest prawidłową aplikacją" oznaczają uszkodzenie plików. Z tego co mówisz wynika, że zdefektowany jest conajmniej AIMP oraz Notatnik Windows (czy inne pliki tekstowe się otwierają w Notatniku?). Spróbuj AIMP przeinstalować, ale reinstalacja Notatnika to niestety już podmiana pliku Windows. I powtarzam: nie jestem w stanie stwierdzić ile uszkodzeń po Ramnit naprawdę zostało. Takie niespodzianki mogą wychodzić na jaw stopniowo w trakcie używania określonych funkcji Windows lub programów.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...