Trojany-zainfekowane 5500 plików-zamulony system

[wierusz]

Witam!

Jestem tu pierwszy raz. Proszę o pomoc.

Chciałem dobrze a wyszło jak zawsze od końca. Przepraszam ale ilość trojanów odebrała mi chyba zdrowy rozsądek i zacząłem wszystko od końca.

Po pierwszym skanowaniu Nodem - Nod1 potem drugie skanowanie i Nod-2

i w desperacji combofix

Proszę o pomoc co dalej bo nie wszystkie zostały usunięte a na pendrku jest jeszcze coś takiego "eexqev.pif"

Dziękuję Marcin

Ps. załączniki ze skanowania Nodem-online

ComboFix.txt

[picasso]

To co wykrył skaner NOD = wirus Sality, który zaraża wszystkie pliki wykonywalne na wszystkich dyskach. To co jest na urządzeniu przenośnym to również infector Sality. Tu nie da rady poradzić sobie bez skanera antywirusowego.

 

1. Skorzystaj z SalityKiller.

2. Gdy ukończy pracę, podasz wyniki, a także nowe logi: OTL + USBFix z opcji Listing.

[wierusz]

SalityKiller znalazł wirusy zakończył działenie

UsbFixListing.txt

Extras.Txt

OTL.Txt

[picasso]

Logi przy podłączonych USB są zbędne, bo to nie wpływa na zmianę zawartości logów, z wyjątkiem partii listowania dysków i spisu plików autorun.inf. Zaś to zadanie załatwia opcja Listing w USBFix. Usuwam niepotrzebne załączniki. "SalityKiller znalazł wirusy zakończył działenie" = cóż, Sality wygląda nadal na czynnego, pracują w tle losowe procesy z katalogów tymczasowych:

 

PRC - [2010-12-13 20:07:40 | 000,036,352 | ---- | M] () -- C:\Windows\temp\w34f009.exe
PRC - [2010-12-13 20:06:19 | 000,036,352 | ---- | M] () -- C:\Users\Maria\AppData\Local\Temp\w33cf8e.exe
PRC - [2010-12-13 20:02:58 | 000,012,970 | ---- | M] () -- C:\Windows\temp\winojpbgr.exe
PRC - [2010-12-13 20:02:05 | 000,012,970 | ---- | M] () -- C:\Users\Maria\AppData\Local\Temp\dcasrw.exe

Ponadto na dysku C są jeszcze dwa pliki infekcji, plus kilka obiektów na urządzeniach przenośnych. Na dyskach I oraz J figurują także foldery Autorun.inf o nieznajomym pochodzeniu i niezależnie czy to jest coś utworzone specjalnie dla blokowania infekcji będę usuwać (atrybuty katalogów się nie zgadzają z takimi sztuczkami).

 

 

 

1. Wstępne usuwanie via OTL tego co widzę od infekcji (wspominane pliki | zerowanie konfiguracji zapory Windows | zablokowanie odtwarzania autorun.inf) oraz niektórych nieszkodliwych wpisów "not found" (nie wszystkich, bo niektóre są normalne). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\aueme.exe
C:\autorun.inf
I:\cahf.exe
I:\Autorun.inf
I:\rarnew.dat
I:\zipnew.dat
J:\eluiv.exe
J:\Autorun.inf
 
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
 
:OTL 
IE - HKU\S-1-5-21-580308997-3297512381-3963118376-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT1098640"
O3 - HKU\S-1-5-21-580308997-3297512381-3963118376-1000\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C}  (Reg Error: Value error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\massfilter.sys -- (massfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\dsnpfd.sys -- (dsnpfdMP)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
 
:Commands
[emptyflash]
[emptytemp]

 

Klik w Wykonaj skrypt. Komputer będzie restartował. Otrzymasz z tego log.

 

2. Ponów operację z SalityKiller. Dopóki będzie znajdował zarażone pliki, musi być stosowany.

 

3. Po ukończeniu wszystkich zadań produkujesz: nowe logi z OTL opcji Skanuj (nie zapomnij o Extras) i USBFix opcji Listing.

 

 

 

.

[wierusz]

Wykonane zalecenia przesyłam logi, nie mogę przesłać loga ze skryptu jako załącznik, jak to zrobić? w zastępstwie log.txt

Extras.Txt

OTL.Txt

UsbFix.txt

log.txt

[picasso]

Po wynikach z SalityKiller (wskazał plik z kwarantanny OTL) wnioskuję, że proces zarażania został przerwany. OTL także wykonał swoje zadania, nie ruszył jednak tych dwóch folderów, o których mówiłam:

 

O32 - AutoRun File - [2010-12-14 00:46:42 | 000,000,000 | ---D | M] - I:\Autorun.inf -- [ FAT ]
O32 - AutoRun File - [2010-12-14 00:46:40 | 000,000,000 | ---D | M] - J:\Autorun.inf -- [ FAT ]

To chyba rzeczywiście są foldery zablokowane sztuczką, czyli zadanie ochronne. Wykonaj końcowe kroki:

 

 

1. Usuń to zaplanowane niewykonane zadanie usuwania autorun.inf. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator i w kluczu:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

 

... skasuj wartość PendingFileRenameOperations.

 

2. Posprzątaj po używanych narzędziach:

 

• Odinstaluj ComboFix: wywołaj kombinację klawiszy flaga Windows + R i w polu Uruchom wklej polecenie c:\users\Maria\Downloads\ComboFix.exe /uninstall
  
• W OTL wywołaj funkcję Sprzątanie. Odinstaluj także USBFix.
  

3. Obowiązkowa aktualizacja systemu:

 

Windows Vista Home Basic Edition  (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18904)

Zainstaluj po kolei dwa Service Packi do Vista, SP1 i SP2: KB935791 (Metoda 3).

 

4. Kolejne aktualizacje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java™ 6 Update 18
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3
"{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish

Odinstaluj te wystąpienia, a następnie zamontuj najnowsze wersje: INSTRUKCJE.

 

 

 

 

.

[wierusz]

Podczas instalacji SP1 taki błąd się pojawił

[picasso]

Może wstępnie spróbuj:

 

1. By nie przeszkadzały instalacji, odinstaluj Spyware Doctor i Bonjour. Restart systemu.

 

2. Zresetuj komponenty Windows Update przy udziale narzędzia Fix-it Microsoftu, w trybie agresywnym: KLIK.

 

3. Spróbuj ponowić instalację SP1.

 

 

 

.

[wierusz]

Spyware Doctor jest uszkodzony nie chce się odinstalować. Po zastosowaniu Fix-it i próbie instalacji SP1 zresetował się komp. Podpis problemu:

Nazwa zdarzenia problemu: BlueScreen

Wersja systemu operacyjnego: 6.0.6000.2.0.0.768.2

Identyfikator ustawień regionalnych: 1045

 

Dodatkowe informacje o problemie:

BCCode: a

BCP1: 8E211FF4

BCP2: 00000002

BCP3: 00000000

BCP4: 838BC543

OS Version: 6_0_6000

Service Pack: 0_0

Product: 768_1

 

Pliki pomagające opisać problem:

C:\Windows\Minidump\Mini121410-01.dmp

C:\Users\Maria\AppData\Local\Temp\WER-100480-0.sysdata.xml

 

C:\Users\Maria\AppData\Local\Temp\WER71E4.tmp.version.txt

Windows NT Version 6.0 Build: 6000

Product (0x2): Windows Vista Home Basic

Edition: HomeBasic

BuildString: 6000.17021.x86fre.vista_gdr.100218-0019

Flavor: Multiprocessor Free

Architecture: X86

LCID: 1045

[picasso]

Spyware Doctor jest uszkodzony nie chce się odinstalować.

 

Należy więc podjąć awaryjne kroki, bo Spyware Doctor ma aktywny sterownik wysokiego poziomu i nie można tego zostawić w takim niesprawnym stanie. Nie mogę nigdzie znaleźć oficjalnego deinstalatora Spyware Doctor w formie indywidualnej. Spróbuj może: pobrać plik instalacyjny Spyware Doctor i nadinstalować na obecnego doktora, a następnie spróbować to odinstalować. Po tej operacji wytwórz nowy log z OTL, który ma pokazać czy coś zostało w systemie.

 

Po zastosowaniu Fix-it i próbie instalacji SP1 zresetował się komp.

 

Przekopiuj na Pulpit plik C:\Windows\Minidump\Mini121410-01.dmp, zapakuj go do ZIP, shostuj na serwisie SpeedyShare i podaj tu link.

 

 

 

.

[wierusz]

http://www.speedyshare.com/files/25715116/Mini121410-01.rar

[picasso]

Niestety z tego minidump nic nie wynika. Jako przyczyna stoi jądro systemu, co nie daje żadnych konkretów.

Przejdź do operacji ze Spyware Doctor i zgłoś się tu z logiem OTL do oceny.

[wierusz]

Logi po odinstalowaniu Doktora

OTL.Txt

Extras.Txt

[picasso]

Nie widzę tu już żadnych śladów Spyware Doctor, czyli nadpisanie nową instalacją okazało się dostatecznie pomyślnie. Jeszcze tak rozmyślam co by tu mogło przeszkadzać instalacji SP. Na wszelki wypadek:

 

1. Usuń także emulację: odinstaluj Alcohol poprzez skrót w Menu Start, a następnie wyeliminuj sterownik emulacji SPTD przy udziale narzędzia SPTDinst. Całościowe instrukcje są zlokalizowane tutaj: KLIK.

2. Zweryfikuj system za pomocą Kaspersky TDSSKiller. Jeśli cokolwiek by wykrył, ustaw Skip i tylko raport wygeneruj.

 

Jeśli odinstalujesz emulację, a Kaspersky nic nie wykryje, spróbuj po tym ponowić instalację Service Pack. Jeśli to będzie niepomyślne, poproszę o rozbudowany zestaw logów systemowych (Dziennik zdarzeń / CBS.LOG), a instrukcje podam na bieżąco.

 

 

.

Edytowane 16 Stycznia 2011 przez picasso
16.01.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso