Samoczynnie restartujący system

[Winterstorm]

Witam. Mam problem z systemem, najprawdopodobniej jakieś złośliwe coś się zalęgło. Objawy to samoczynny restart systemu. Pierwszy raz zauważyłem tę sytuację przy aktualizacji flash playera, gdy ściągnąłem instalkę, to system się sam z siebie zrestartował (po ponownym uruchomieniu instalacja aktualizacji przebiegła już pomyślnie, przynajmniej na tyle, na ile moje niewprawne oko może stwierdzić). Taka sama sytuacja występuje podczas próby wejścia do rejestru czy wywołania komendy "cmd". Skanowanie przy użyciu FRST przebiegło pomyślnie, natomiast w przypadku GMERa pierwsza próba ściągnięcia programu zakończyła się restartem systemu, natomiast druga przebiegła już poprawnie, tak samo jak i skanowanie. To w zasadzie tyle, jakichś innych objawów nie zaobserwowałem. Pozdrawiam i wyczekuję na jakieś dalsze instrukcje.

skan gmr.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Te samoczynne restarty produkuje robak Brontok. Działania wstępne:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
HKLM\...\Run: [bron-Spizaetus] => C:\WINDOWS\ShellNew\sempalong.exe [42713 2008-07-25] ()
HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\eksplorasi.exe" [x ] ()
HKU\S-1-5-21-1935655697-2147138623-1417001333-1003\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\Admin\Local Settings\Application Data\smss.exe [42713 2008-07-25] ()
HKU\S-1-5-21-1935655697-2147138623-1417001333-1003\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-1935655697-2147138623-1417001333-1003\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-1935655697-2147138623-1417001333-1003\...\Policies\Explorer: [NoFolderOptions] 1
HKU\S-1-5-21-1935655697-2147138623-1417001333-1003\...\MountPoints2: {108a1d78-248a-11e4-a71f-0025d36e48a4} - G:\autorun.exe
HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe [42713 2008-07-25] ()
HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1
SecurityProviders: schannel.dll, credssp.dll, digest.dll
Startup: C:\Documents and Settings\Admin\Start Menu\Programs\Startup\Empty.pif ()
Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\MS .NET Framework 4 - WinXP Slow Boot Fix v3.1.vbs ()
Startup: C:\Documents and Settings\NetworkService\Start Menu\Programs\Startup\Empty.pif ()
Task: C:\WINDOWS\Tasks\At1.job => ?
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-1935655697-2147138623-1417001333-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Documents and Settings\All Users\Application Data\APN
C:\Documents and Settings\Admin\Application Data\EurekaLog
C:\Documents and Settings\Admin\Local Settings\Application Data\*.bat
C:\Documents and Settings\Admin\Local Settings\Application Data\*.bin
C:\Documents and Settings\Admin\Local Settings\Application Data\*.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\*.txt
C:\Documents and Settings\NetworkService\Local Settings\Application Data\*.bat
C:\Documents and Settings\NetworkService\Local Settings\Application Data\*.bin
C:\Documents and Settings\NetworkService\Local Settings\Application Data\*.exe
C:\Documents and Settings\NetworkService\Local Settings\Application Data\*.txt
C:\WINDOWS\eksplorasi.exe
C:\WINDOWS\ShellNew\sempalong.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CMD: for /d %f in ("C:\Documents and Settings\Admin\Local Settings\Application Data\*Bron*") do rd /s /q "%f"
CMD: for /d %f in ("C:\Documents and Settings\NetworkService\Local Settings\Application Data\*Bron*") do rd /s /q "%f"
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

[Winterstorm]

Polecenia wykonane, przy czym podczas pierwszego skanowania FRST wywalił jakiś błąd. Po ponownym uruchomieniu programu skanowanie przebiegło już normalnie.

FRST.txt

Addition.txt

Fixlog.txt

[picasso]

Wszystko pomyślnie usunięte, ale jesteśmy w połowie. Brontok tworzy w ogromnej ilości katalogów falsyfikaty w postaci plików EXE o nazwie jak katalog w którym siedzą, a przypadkowe uruchomienie takiego pliku zainfekuje ponownie system. Konieczny pełny skan za pomocą programu który wykrywa takie pliki. Kolejna porcja działań:

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Dopiero po wykonaniu powyższego działania zainstaluj Malwarebytes Anti-Malware. Zrób pełny skan (a nie ekspresowy) komputera. MBAM wykrywa obiekty Brontok pod nazwą kodową Trojan.Dropper. Jeśli program coś znajdzie, dostarcz raport.

[Winterstorm]

Brontok tworzy w ogromnej ilości katalogów falsyfikaty w postaci plików EXE o nazwie jak katalog w którym siedzą, a przypadkowe uruchomienie takiego pliku zainfekuje ponownie system.

To wiele wyjaśnia, mój brat ma pełno tego syfu na kompie, a ja ostatnio korzystałem z jego pendrive'a gdzie również był taki plik.

 

Poniżej zamieszczam raporty. W przypadku MBAM mam kliknąć "Zastosuj akcje" jak rozumiem?

raport mbam.txt

Fixlog.txt

[picasso]

Tak, pendrive to jedna z dróg transportu Brontok.

 

1. Za pomocą MBAM usuń znaleziska, ale omiń rekord PUP.Passwordtool.Cain. Dodatkowo: globalne czyszczenie folderu Przywracania systemu (C:\System Volume Information) i tak zostanie przeprowadzone z osobna.

 

2. Odinstaluj starą wtyczkę Adobe Flash Player 14 ActiveX (wersja dla Internet Explorer).

 

3. Skasuj pobrany FRST z F:\mozilla. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

 

I trzeba zająć się komputerem brata. Potrzebne logi FRST i GMER z tego komputera.

[Winterstorm]

I trzeba zająć się komputerem brata. Potrzebne logi FRST i GMER z tego komputera.

 

Bardzo chętnie, jeśli uda Ci się przekonać go do ingerencji w jego komputer. Mi się jak do tej pory nie udało.

 

Jeszcze jedno pytanie a propos Brontoka. Na karcie pamięci aparatu cyfrowego najprawdopodobniej również znajduje się taki lewy plik wykonywalny (yup, brat używał aparatu). Jak się go bezpiecznie pozbyć? Najlepiej tak, żeby nie stracić reszty danych z karty pamięci, ale jeśli nie będzie innej opcji, to jakoś przeżyję.

 

Polecenia wykonane, wrzucam jeszcze raport z DelFix.

DelFix.txt

[picasso]

Skasuj z dysku plik C:\Delfix.txt.

 

 

Jeszcze jedno pytanie a propos Brontoka. Na karcie pamięci aparatu cyfrowego najprawdopodobniej również znajduje się taki lewy plik wykonywalny (yup, brat używał aparatu). Jak się go bezpiecznie pozbyć? Najlepiej tak, żeby nie stracić reszty danych z karty pamięci, ale jeśli nie będzie innej opcji, to jakoś przeżyję.

Zawartość urządzenia nieznana. Prewencyjnie na swoim komputerze zastosuj Panda USB Vaccine i opcję Computer Vaccination. Zresetuj system. Następnie podepnij urządzenie i przeskanuj za pomocą Kaspersky Virus Removal Tool. Domyślnie narzędzie prowadzi skan ekspresowy, należy w opcjach zmienić i wskazać do skanu konkretne urządzenie.

 

 

Bardzo chętnie, jeśli uda Ci się przekonać go do ingerencji w jego komputer. Mi się jak do tej pory nie udało.

Nie wiadomo co jest na jego komputerze. Można użyć jednak argumenty, że nie tylko system działa wolniej, ale nie leczony może przestać się uruchamiać i nastąpi utrata danych.

[Winterstorm]

Przeskanowałem aparat Kasperskym, znalazł trzy zagrożenia, każde z rozszerzeniem .exe, w tym jedno z nich miało w nazwie "CHET", czyli tak, jak nazywa się konto użytkownika, z którego korzysta brat na swoim komputerze, wnioskuję więc, że prawie na pewno stamtąd przypałętał się wirus. Zamieszczam jeszcze skan z Kaspersky'ego, wszystkie trzy pliki usunięte.

 

Brata będę przekonywał do ogarnięcia kompa, jak się uda, to z pewnością tutaj zawitam jeszcze

kasperskyscan.txt

[picasso]

Kaspersky wyczyścił pendrive. Możesz jeszcze go dodatkowo zimmunizować za pomocą Panda i opcji USB Vaccination. To jest jednak ograniczona metoda i nie wyklucza tworzenia na pendrive obiektów Brontok. Niestety trzeba ubić źródło, a źródłem zdaje się być komputer opornego brata.