Skocz do zawartości

W32:Brontok-BH


Rekomendowane odpowiedzi

na wstepie podaje: System operacyjny Vista Home Premium 32Bit

 

Witam,

 

jak w temacie. Dodatkowo dodam, ze log pochodzi z komputera ktory sluzy jako serwer plikow. Efekt jest taki, ze wszystkie koncowki cierpia na podobne zaburzenia stad po ew. naprawie tego kompa bedzie trzeba przeleczyc wszystkie komputery z sieci LAN zanim sie znowu podepna do przedmiotowego serwera. Dodatkowo powiem, ze zanim dotarlem na Wasze forum uzylem combofix'a, ktory za pierwszym razem "ozdrowil" system ale nie wiedzac, ze pozostale kompy w LANI'e sa chore podpialem go na swoje miejsce czego efektem bylo to, ze po krotkiej szczesliwej pracy "serwer" stracil kontakt z siecia, przy probie wywolania dysku c: z lini polecen zamiast dysku pojawia sie program do obslugi skanera. Ponowne odpalenie CF zakonczylo sie wykasowaniem calej niemal zawartosci katalogu USERS. Pozniej to poprzywracalem ale pojawil sie problem z zalogowaniem do konta Administratora (Instalator). Dopiero reczne wywolanie procesu exploratora pozwala wejsc do systemu. Dodatkowo wystepuja problemy z siecia.

 

W systemie funkcjonowal Kasperski ale on przepuscil Brontoka wiec go odinstalowalem, w to miejsce wrzucilem Avast'a, ktory sporo wylapal...ale i on najwyrazniej sie poddal bo po restarcie kompa dostalem komunikat o potrzebie wlaczenia zapory, ktorej wlaczyc sie nie da...

Wiecej grzechow nie pamietam i logi wklejam :-(

 

Pozdrawiam!

 

Results of screen317's Security Check version 0.99.6

Windows Vista Service Pack 2 (UAC is enabled)

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Windows Security Center service is not running! This report may not be accurate!

avast! Pro Antivirus

Kaspersky Internet Security 2010

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Malwarebytes' Anti-Malware

CCleaner

Java 6 Update 17

Out of date Java installed!

Adobe Flash Player 10.1.85.3

Adobe Reader 9.3.1 - Polish

Mozilla Firefox (3.6.) Firefox Out of Date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

````````````````````````````````

DNS Vulnerability Check:

Unknown. This method cannot test your vulnerability to DNS cache poisoning. (Wireless connection?)

 

``````````End of Log````````````

OTL.Txt

Extras.Txt

gmer.txt

CFIX.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Objawy nie pasują do tego co widzę w raportach. Tzn. nie widzę wcale czynnego Brontoka, jedynie te jego obiekty, których kasacja ręczna nie powinna stanowić trudności:

 

[2010-12-05 19:05:47 | 000,000,000 | ---D | C] -- C:\Users\INSTALATOR\AppData\Local\Loc.Mail.Bron.Tok

[2010-12-05 19:05:16 | 000,000,000 | ---D | C] -- C:\Users\INSTALATOR\AppData\Local\Ok-SendMail-Bron-tok

I jeszcze notuję podejrzany ukryty folder o nazwie zmiennej:

 

[2010-11-10 12:03:53 | 000,000,000 | -HSD | C] -- C:\Windows\System32\%APPDATA%
W systemie funkcjonowal Kasperski ale on przepuscil Brontoka wiec go odinstalowalem, w to miejsce wrzucilem Avast'a, ktory sporo wylapal...ale i on najwyrazniej sie poddal bo po restarcie kompa dostalem komunikat o potrzebie wlaczenia zapory, ktorej wlaczyc sie nie da...

 

Czyli oglądam logi sprzed tej operacji, bo widzę KIS wspólnie z Avastem. W takim razie mogę nie widzieć wcale w raportach aktualnego stanu systemu. Logi są z wczoraj wieczorem. Poproszę o zestaw logów z dziś. Podaj też dokładny komunikat pojawiający się przy próbie włączenia zapory, gdyż póki co w raportach nie widać ani polisy blokującej, a okienkowa konfiguracja ma oznaczoną zaporę jako włączoną (EnableFirewall ustawione na 1).

 

Komentarz: Do deinstalacji podejrzany reputacją program ScanSpyware 3.9.2.1. Również Spybot Search & Destroy możesz podziękować. W systemie jest natywny Windows Defender spokojnie zastępujący jego działanie. Spybot odstaje skutecznością w dzisiejszych czasach, wystarczy w jego miejsce skaner na żądanie MBAM (którym już dysponujesz).

 

 

.

Odnośnik do komentarza

1. Brontok byl przed kolejnym dzialaniem CF

2. Logi sa aktualne po tym jak je zrobilem nic nie zmienialem w systemie...a obecnosc Kasperskiego jest najwyrazniej wynikiem przywracania systemu, ktora to operacje wykonalem po tym jak CF mi wykasowal 99% katalogu USERS :-( (mam go ostatecznie wywalic? i zostawic Avast'a czy na odwrot?)

3. czy pozostalosci Brontoka i ten podejrzany folder usunac?

4. co moge zrobic zeby sie moc zalogowac do konta Administratora bo teraz moge to zrobic tylko w trybie awaryjnym po wpisaniu polecenia explorer (polecenie sfc/ scanow nie wykazalo bledow) lub w normalnym trybie zamykajac stary proces explorera i wpisujac by ponownie go uruchomil

5. opcja wywolania dysku c: z linii polecen otwiera mi program narzedziowy scanera (TWAIN V4 Network...)

 

pozdrawiam!

Odnośnik do komentarza
1. Brontok byl przed kolejnym dzialaniem CF

 

Nie o to mi chodzi. Mówię, że to co widać w logach to już szczątki po Brontok a nie jego postać aktywna. Aktywny Brontok wygląda całkiem inaczej, m.in. jest zmodyfikowana wartość Shell (dlatego nie startuje explorer.exe). Oto co występuje przy Brontok:

 

O20 - HKLM Winlogon: Shell - ("C:\WINDOWS\eksplorasi.exe") - C:\WINDOWS\eksplorasi.exe ()

U Ciebie jest natomiast jak najbardziej prawidłowy zapis:

 

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)

Dlatego też patrz poniżej na ustęp o logach.

 

2. Logi sa aktualne po tym jak je zrobilem nic nie zmienialem w systemie...a obecnosc Kasperskiego jest najwyrazniej wynikiem przywracania systemu, ktora to operacje wykonalem po tym jak CF mi wykasowal 99% katalogu USERS :-( (mam go ostatecznie wywalic? i zostawic Avast'a czy na odwrot?)

 

Rozpocznij od redukcji programów zabezpieczających, bo jeśli pokazana tu sytuacja to prawda, to jest to katastrofalne połączenie. Samo to wystarczy, by Windows nie bootował wcale. Skorzystaj z narzędzia Kaspersky Remover Tool. Deinstalowana ta aplikacja, która była odinstalowywana.

 

3. czy pozostalosci Brontoka i ten podejrzany folder usunac?

 

Jak sądzisz, po co ja to mówię? Nie po to bynajmniej, by patrzyć na te foldery i podziwiać.

 

4. co moge zrobic zeby sie moc zalogowac do konta Administratora bo teraz moge to zrobic tylko w trybie awaryjnym po wpisaniu polecenia explorer (polecenie sfc/ scanow nie wykazalo bledow) lub w normalnym trybie zamykajac stary proces explorera i wpisujac by ponownie go uruchomil

 

Przecież zmierzam cały czas do tego, że nie jestem wcale pewna jak wygląda aktualna sytuacja. Brontok modyfikuje wartość Shell i to pasuje do opisywanego tu objawu, ale to co już nie pasuje to brak potwierdzenia tego w logach: wartość Shell nie wykazuje modyfikacji, proces explorer.exe jest oznaczony jako markowy, brak także w procesach jakichkolwiek procesów obcych. Ta niezgodność mi sugeruje, że jest tu jakieś sfałszowanie sytuacji. A prostym skojarzeniem jest czasokres wykonywanych zadań. Logi są z wczoraj a nie z dziś (jest różnica wielu godzin). Wystarczy przecież 10 minut bez podejmowania akcji i infekcja może być już w odmiennej formie. Następnie: log z OTL robiony z poziomu Trybu awaryjnego z obsługą sieci. W tym trybie może się nie ujawnić w procesach w logu coś dodatkowego, co może nakierować na trop. Poproszę raz jeszcze: logi z teraz (a nie wczoraj), mające notować usunięcie KIS i robione z poziomu Trybu normalnego.

 

Kolejna rzecz: czy tylko to konto nie ma prawidłowo startującego explorer.exe, czy rzecz dotyczy także dowolnego założonego testowo konta?

 

5. opcja wywolania dysku c: z linii polecen otwiera mi program narzedziowy scanera (TWAIN V4 Network...)

 

?

 

 

.

Odnośnik do komentarza

1. Faktycznie taki cos jak eksplorasi.exe bylo bo po ktoryms restarcie systemu dostalem info o braku ww. pliku

 

2. Kasperski zostal wymontowany stosownym narzedziem

 

3. Co do folderow to juz sobie poszly (mialem glownie watpliwosci co do tego ukrytego folderu) :-)

 

4. logi sie robia ale z poziomu trybu awaryjnego bo niczego na dysku nie mozna zapisac (np. proba przegrania z pena plikow do tworzenia logow konczy sie zwiecha...pytanie o prawa admina, a jest to konto admina wlasnie. Wiecej pkt.7).

uzupelnienie / Po wlaczeniu Gmera'a w trybie awaryjnym wyskoczyl mi komunikat, ze znaleziono "badziewie" padlo pytanie czy wykonac skan dalem tak...a jak po jakims czasie wrocilem do kompa to system juz nie pracowal w trybie awaryjnym a nastapilo przelogowanie do normalnego trybu i po wybraniu konta admina i wszystkie objawy jakie tu i w pkt 7 i 8 opisalem ustapily. Problem opisany w pkt 6 dalej pozostal.

 

oto swieze logi:

OTL.Txt

gmer.txt

 

5. windows startuje juz ok tak, ze problem z explorerem uwazam za zamkniety

 

6. jezeli wpisze w start rozpocznij wyszukiwanie c: to zamiast dysku c: pozakuje mi sie program narzedziowy skanera, jezeli dam d: to zamiast partycji d: mam okno centrum ulatwien dostepu... chyba tak nie powinno byc?

 

7. Inny problem to ciagle "zwisy" przy probach zalozenia nowego folderu, uruchomienia jakiejkolwiek aplikacji, proby usuniecia programu poprzez dodaj usun programy. Tzn. wiesza sie konkretna, wywolywana aplikacja, a sam system wydaje sie dzialac ok stad moja praca w trybie awaryjnym z obsluga sieci. W trybie awaryjnym wszystko jest ok. (Problem dotyczy konta administratora, na koncie ogolnym jedynie katalogi mozna tworzyc bo proba wywolania jakiejs aplikacji konczy sie jej zwiecha np. dodaj usun programy)

juz jest ok

 

8. Usunalem produkt avast (stosowne narzedzie pobralem ze strony avasta) bo po tej kolizji z Kasperskim nie ladowal sie przy starcie i dostaje komunikac, ze 2 osolny (poczta i www) sa wylaczone. Proba wlaczenia konczy sie niczym.

juz jest ok

Odnośnik do komentarza

Punkty 5, 7 i 8 = nie widzę innego wyjaśnienia niż kolizja oprogramowania zabezpieczającego (kombinacja KIS + Avast, a potem niepełnosprawny Avast). Punkt 4 zupełnie niejasny, bo skoro GMER coś wykrył, to tego nie widać w skanie tu prezentowanym. Aczkolwiek nie wykluczam, że to był wynik zawieszeń (wtedy GMER może mieć odczyty typu "rootkit" od normalnych komponentów Windows). Oceniając logi, nie widzę nic podejrzanego. Zostało do wykonania:

 

1. Nadal do przeprowadzenia deinstalacja ScanSpyware 3.9.2.1, bo cały czas go widzę w logu.

 

2. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i wklej polecenie C:\Users\INSTALATOR\Desktop\ComboFix.exe /uninstall

 

3. Wykonaj aktualizacje Java i Adobe Reader: INSTRUKCJE.

 

6. jezeli wpisze w start rozpocznij wyszukiwanie c: to zamiast dysku c: pozakuje mi sie program narzedziowy skanera, jezeli dam d: to zamiast partycji d: mam okno centrum ulatwien dostepu... chyba tak nie powinno byc?

 

Teraz już rozumiem o co Ci chodzi, zupełnie co innego mi się kojarzyło z hasłem "linia poleceń". Zasadniczo nie widzę tu problemu. Na mojej testowej Vista wirtualnej także wyniki nie są zgodne, jeśli wklepie się literę dysku. Całkiem inaczej jest na moim Windows 7 (wtedy to polecenie robi automatyczny "dir").

Możesz coś ewentualnie pokombinować w lokalizacjach indeksowanych (Panel sterowania > System i konserwacja > Opcje indeksowania).

 

 

 

.

Odnośnik do komentarza

Niestety powtorka z rozrywki. Komputer pochodzil jeden dzien i wszystko wrocilo do normy "tej" zlej :-(. W trybie normalnej pracy nie mozna otworzyc zadnej aplikacji "zwisy" takie jak wczesniej opisane. Mozliwe,ze stalo sie to przez to, ze odtworzylem poczte z backupu (chociaz wczesniej przeskanowalem avastem katalog i eml'mi a po uruchomieniu raz jeszcze pelny skan systemu avastem, ktory niczego nie znalazl) Jak uda mi sie usiasc do komputera to znowu wykonam logi...eh

 

Pozdrawiam

Odnośnik do komentarza
W trybie normalnej pracy nie mozna otworzyc zadnej aplikacji "zwisy" takie jak wczesniej opisane. Mozliwe,ze stalo sie to przez to, ze odtworzylem poczte z backupu (chociaz wczesniej przeskanowalem avastem katalog i eml'mi a po uruchomieniu raz jeszcze pelny skan systemu avastem, ktory niczego nie znalazl)

 

"Niestety", ale nie widzę nic z zakresu infekcji. A ze zmian w logu to notuję tu tylko pojawienie się nowego softu CyberPower PowerPanel Personal Edition, oraz brak zmian czyli nie wywołana prawidłowa deinstalacja ComboFix + permanentna obecność ScanSpyware 3.9.2.1 (który jak mówiłam powinien wylecieć).

 

1. Czy jesteś pewien, że Avast jako taki nie ma tu nic do rzeczy, tzn. że to nie jest właśnie wisielec?

 

2. Skoro tryb normalny nie wchodzi, awaryjny wręcz przeciwnie, to nasuwa się jeszcze test z czystym rozruchem (KB929135).

 

 

 

.

Edytowane przez picasso
14.01.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...