szopen64 Opublikowano 30 Stycznia 2011 Zgłoś Udostępnij Opublikowano 30 Stycznia 2011 Witam. Po uruchomieniu systemu MBAM wykrywa wirusa który próbuje wyłączyć wszystkie osłony w Avast IS, jest to Trojan.KillAV w lokalizacji C:\WINDOWS\ system32\ drivers\ mogfmp.sys, po dodaniu go do kwarantanny i po ponownym zalogowaniu powraca i wszystko zaczyna się od nowa, czyli wyłączanie osłon. Po za tym nie mogę otworzyć żadnego narzędzia administracyjnego, menedżera urządzeń czy zarządzania bo wyskakuje komunikat jakim programem to otworzyć, nie mogę też wejść w właściwości komputera bo brakuje pliku rundll32.exe w C:\Windows\system32, zniknął też wiersz polecenia. Przedstawiam logi. Extras.Txt OTL.Txt Gmer.txt TDSSKiller.2.4.12.0_29.01.2011_23.01.06_log.txt mbam-log-2011-01-30 (00-04-32).txt Odnośnik do komentarza
picasso Opublikowano 30 Stycznia 2011 Zgłoś Udostępnij Opublikowano 30 Stycznia 2011 W podanych tu logach widać poniższy aktywnie załadowany moduł i te pliki na dysku: MOD - [2011-01-29 20:03:19 | 000,081,920 | ---- | M] () -- C:\WINDOWS\system32\q~184703.dll [2011-01-29 23:12:52 | 000,081,920 | ---- | M] () -- C:\WINDOWS\System32\p~184703.dll[2011-01-29 23:12:52 | 000,044,748 | -H-- | M] () -- C:\WINDOWS\System32\p~184703.dl_[2011-01-29 21:24:39 | 000,044,748 | -H-- | M] () -- C:\WINDOWS\System32\q~184703.dl_[2011-01-29 21:17:13 | 000,081,920 | ---- | M] () -- C:\WINDOWS\System32\p}186334.dll[2011-01-29 21:17:13 | 000,044,748 | -H-- | M] () -- C:\WINDOWS\System32\p}186334.dl_[2011-01-29 20:05:06 | 000,081,920 | ---- | M] () -- C:\WINDOWS\System32\o~184703.dll[2011-01-29 20:05:06 | 000,044,748 | -H-- | M] () -- C:\WINDOWS\System32\o~184703.dl_[2011-01-29 19:17:05 | 000,081,920 | ---- | M] () -- C:\WINDOWS\System32\a}295326.dll[2011-01-29 19:17:05 | 000,044,748 | -H-- | M] () -- C:\WINDOWS\System32\a}295326.dl_[2011-01-29 16:29:05 | 000,081,920 | ---- | M] () -- C:\WINDOWS\System32\b}295326.dll[2011-01-29 16:29:05 | 000,044,748 | -H-- | M] () -- C:\WINDOWS\System32\b}295326.dl_ [2011-01-29 20:04:41 | 000,002,432 | ---- | C] () -- C:\TMPZC1832.html[2011-01-29 20:04:41 | 000,002,089 | ---- | C] () -- C:\TMPqB1832.html[2011-01-29 19:10:31 | 000,002,432 | ---- | C] () -- C:\TMPTq2044.html[2011-01-29 19:10:31 | 000,002,089 | ---- | C] () -- C:\TMPLM2044.html[2011-01-29 17:46:02 | 000,002,432 | ---- | C] () -- C:\TMPWA1944.html[2011-01-29 17:46:02 | 000,002,089 | ---- | C] () -- C:\TMPjz1944.html Niestety, widziane powyżej + urządzenie MCIDRV_2600_6_0 to wirus Sality atakujący wszystkie wykonywalne na wszystkich dyskach. Wstępnie spróbuj to ubić przy pomocy polubownych metod: 1. Oczyść lokalizacje tymczasowe przez TFC - Temp Cleaner. 2. Posłuż się szczepionką SalityKiller. 3. Napraw skasowany Tryb awaryjny: KLIK. . Odnośnik do komentarza
szopen64 Opublikowano 30 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2011 Dwie pierwsze czynności zostały wykonane, faktycznie nie dopisałem że nie mam też dostępu do rejestru, gpedit i brak punktów przywracania mimo że były zakładane. Z konsoli wykonałem BOOTCFG /REBUILD i Rescue Kit próbowałem edytować plik boot.ini lecz nie było tam końcówki /safeboot:minimal, mam natomiast teraz dwie opcje systemu do uruchomienia, tj. 1. Microsoft Windows XP Professional "/noexecute=optin /fastdetect 2. Microsoft Windows XP /fastdetect Nie wiem czy dam sobie radę z naprawą rejestru w podany sposób, czy WinRe działa na win XP czy tylko na Win 7 i ewentualnie jakiej płyty użyć do naprawy? Odnośnik do komentarza
picasso Opublikowano 30 Stycznia 2011 Zgłoś Udostępnij Opublikowano 30 Stycznia 2011 Z konsoli wykonałem BOOTCFG /REBUILD i Rescue Kit próbowałem edytować plik boot.ini lecz nie było tam końcówki /safeboot:minimal, mam natomiast teraz dwie opcje systemu do uruchomienia, tj. Ale co Ty robisz. To nie jest ten przypadek (przecież do systemu swobodnie wchodzisz i nie ma pętli samorestartu). Ty masz tylko i wyłącznie zaimportować wpisy rejestru z paczki SalityRegKeys, bo Sality upłynnia cały klucz SafeBoot z rejestru. Odnośnik do komentarza
szopen64 Opublikowano 30 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2011 Paczkę SalityKeysReg rozpakowałem i mam potrzebny plik do rejestru lecz nie bardzo wiem jaką płytą bootowalną go tam wprowadzić, czy WinRe działa pod Win XP czy tylko pod Win7? Odnośnik do komentarza
picasso Opublikowano 30 Stycznia 2011 Zgłoś Udostępnij Opublikowano 30 Stycznia 2011 Paczkę SalityKeysReg rozpakowałem i mam potrzebny plik do rejestru lecz nie bardzo wiem jaką płytą bootowalną go tam wprowadzić, czy WinRe działa pod Win XP czy tylko pod Win7? Ale przecież mówię: to Cię nie dotyczy! To jest scenariusz do sytuacji, gdy system ustawiony na start w Trybie awaryjnym via msconfig w ogóle nie startuje i nie można się dostać do Windows, by w łatwy sposób zaimportować plik rejestru. Ty nie opowiadasz tu takich rzeczy, podajesz logi, czyli system jest jak najbardziej dostępny. W związku z tym masz tylko i wyłącznie z tej paczki uruchomić plik zgodny z XP i potwierdzić wprowadzanie do rejestru. Tylko tyle. Odnośnik do komentarza
szopen64 Opublikowano 30 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2011 Problem jest z tym że z poziomu systemu tego pliku nie mogę wprowadzić do rejestru bo przy próbie otwarcia go jest pytanie jakim programem go otworzyć mimo że plik ma rozszerzenie .reg. Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2011 Zgłoś Udostępnij Opublikowano 31 Stycznia 2011 Twój log Extras nie wskazywał na problem z rozszerzeniem REG pod kątem otwierania przez regedit: ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\\shell\[command]\command]regfile [open] -- regedit.exe "%1" Aczkolwiek to, że widać tu ten zapis poświadczać może uszkodzenie pliku przez Sality. Naruszenia konotacji rozszerzeń są za to w opcji Edytuj. Są znaki, że brakuje systemowego Notatnika. Ale uzupełnienia plików to jest sprawa podrzędna i do wykonania na końcu. Najważniejsze to wyleczyć pliki z Sality, a tu na ten temat nie ma ani słowa jakie były wyniki z SalityKiller. Zważ na to, że ta infekcja jest ciężka do wyleczenia i format może być na widoku ... W kwestii importu wpisów Trybu awaryjnego: 1. Pobierz narzędzie SWREG i wrzuć je do folderu C:\Windows. Plik rejestru odtwarzający klucz awaryjnego ulokuj bezpośrednio na C:\. 2. Start > Uruchom > wklej komendę SWREG IMPORT C:\SafeBootWinXP.reg. . Odnośnik do komentarza
szopen64 Opublikowano 31 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2011 Właściwie to jest odwrotnie, jest problem z rozszerzeniem REG dlatego nie mogłem wprowadzić pliku w normalny sposób a nie ma problemu z notatnikiem, on był, jest i działa. Natomiast co do SalityKiller skanowanie przeprowadziłem ale trwało kilka min. i nie utworzyło żadnego loga, po Twoim pytaniu o wynik skanowania stwierdziłem że skan nie przebiegł prawidłowo i powtórzyłem go co trwa już trzecią godzinę, może tak musi być ale poczekam do końca i jak i jak tylko poda wynik przedstawię go w następnym poście. Zastanawia mnie jedna rzecz, system postawiłem w piątek, chciałem go tylko przygotować do zrobienia kopii zapasowej więc nie były instalowane programy docelowe a jakieś minimum, nie mam pojęcia skąd taka infekcja bo nic nie ściągałem ani nowego nie instalowałem co nie było wcześniej sprawdzone. Czy zamiast tracić czas na naprawę nie zrobić formata powtórnie i nie bawić się w naprawę która i tak nie wiadomo jak się skończy? Bo w tej chwili jestem trochę zablokowany że nie mogę dokończyć w pełni instalacji i wgrania tego co potrzebuję. Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2011 Zgłoś Udostępnij Opublikowano 31 Stycznia 2011 Zastanawia mnie jedna rzecz, system postawiłem w piątek, chciałem go tylko przygotować do zrobienia kopii zapasowej więc nie były instalowane programy docelowe a jakieś minimum, nie mam pojęcia skąd taka infekcja bo nic nie ściągałem ani nowego nie instalowałem co nie było wcześniej sprawdzone. Nie podpinałeś jakiegoś USB? Poza tym, są tu trzy partycje: Drive C: | 18,62 Gb Total Space | 14,66 Gb Free Space | 78,71% Space Free | Partition Type: NTFSDrive D: | 19,53 Gb Total Space | 12,01 Gb Free Space | 61,48% Space Free | Partition Type: NTFSDrive E: | 37,72 Gb Total Space | 17,79 Gb Free Space | 47,17% Space Free | Partition Type: NTFS Taki wirus jak Sality atakuje całość a nie tylko dysk systemowy. Jesteś pewien, że na tych pozostałych partycjach nie ma genów wirusa? Czy zamiast tracić czas na naprawę nie zrobić formata powtórnie i nie bawić się w naprawę która i tak nie wiadomo jak się skończy? Bo w tej chwili jestem trochę zablokowany że nie mogę dokończyć w pełni instalacji i wgrania tego co potrzebuję. Nie chciałam tak od razu łupać opcji format, ale oceniając rzeczowo skutki takiego dziergania na systemie co dopiero postawionym (a już zainfekowanym) to szybciej pójdzie format i zrobienie systemu od nowa. Po leczeniu z Sality i tak system nie będzie idealny, wymagane zapewne będą naprawy dodatkowe. Póki co, widzisz że: pliki są uszkodzone, pewnych plików brakuje, Tryb awaryjny skasowany. Właściwie to jest odwrotnie, jest problem z rozszerzeniem REG dlatego nie mogłem wprowadzić pliku w normalny sposób a nie ma problemu z notatnikiem, on był, jest i działa. Widocznie masz plik C:\Windows\notepad.exe (i pewnie jest zaprawiony przez Sality - w logu tu nie widać sygnatury MS), ale raport wskazuje że nie ma C:\Windows\system32\notepad.exe: ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\].inf [@ = inffile] -- C:\WINDOWS\System32\NOTEPAD.EXE File not found.ini [@ = inifile] -- C:\WINDOWS\System32\NOTEPAD.EXE File not found.txt [@ = txtfile] -- C:\WINDOWS\NOTEPAD.EXE () ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\\shell\[command]\command]batfile [edit] -- %SystemRoot%\System32\NOTEPAD.EXE %1 File not foundbatfile [print] -- %SystemRoot%\System32\NOTEPAD.EXE /p %1 File not foundcmdfile [edit] -- %SystemRoot%\System32\NOTEPAD.EXE %1 File not foundcmdfile [print] -- %SystemRoot%\System32\NOTEPAD.EXE /p %1 File not foundinffile [open] -- %SystemRoot%\System32\NOTEPAD.EXE %1 File not foundinffile [print] -- %SystemRoot%\System32\NOTEPAD.EXE /p %1 File not foundinifile [open] -- %SystemRoot%\System32\NOTEPAD.EXE %1 File not foundinifile [print] -- %SystemRoot%\System32\NOTEPAD.EXE /p %1 File not foundjsfile [edit] -- %SystemRoot%\System32\Notepad.exe %1 File not foundjsfile [print] -- %SystemRoot%\System32\Notepad.exe /p %1 File not foundjsefile [edit] -- %SystemRoot%\System32\Notepad.exe %1 File not foundjsefile [print] -- %SystemRoot%\System32\Notepad.exe /p %1 File not foundregfile [edit] -- %SystemRoot%\system32\NOTEPAD.EXE %1 File not foundregfile [print] -- %SystemRoot%\system32\NOTEPAD.EXE /p %1 File not foundtxtfile [open] -- notepad.exe %1 ()txtfile [print] -- %SystemRoot%\system32\NOTEPAD.EXE /p %1 File not foundtxtfile [printto] -- %SystemRoot%\system32\notepad.exe /pt "%1" "%2" "%3" "%4" File not foundvbefile [edit] -- %SystemRoot%\System32\Notepad.exe %1 File not foundvbefile [print] -- %SystemRoot%\System32\Notepad.exe /p %1 File not foundvbsfile [edit] -- %SystemRoot%\System32\Notepad.exe %1 File not foundvbsfile [print] -- %SystemRoot%\System32\Notepad.exe /p %1 File not foundwsffile [edit] -- %SystemRoot%\System32\Notepad.exe %1 File not foundwsffile [print] -- %SystemRoot%\System32\Notepad.exe /p %1 File not found . Odnośnik do komentarza
szopen64 Opublikowano 31 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2011 Mam dwa dyski twarde i na jednym jest tylko partycja systemowa a dwie partycje z danymi są na drugim dysku, w tej chwili nie wiem jakie szkody narobił wirus na pozostałych partycjach i gdzie się zagnieździł, wiem że do tej pory partycje D: i E: były czyste ale w takim razie przepuszczę MHDD w pełnym skanowaniu i kasowaniu dysku i postawię system od nowa co na pewno skróci czas i będzie wiadomo czy nie ma go na pozostałych partycjach. Edit: Dysk wyzerowałem funkcją Erase w MHDD, wgrałem system od nowa ale są dalej infekcje, jest na pewno Sality oraz Trojan.KillAV także w likalizacji C:\ Windows\ system32\ drivers\ FLHLGM.SYS. Przeskanowałem również pozostałe partycje lecz są czyste, rejestr i pozostałe usługi nie działające poprzednio teraz działają, brakuje punktów przywracania i trybu awaryjnego, płyta instalacyjna jest czysta bo używałem jej wcześniej i nie było żadnych problemów ani infekcji. Przedstawiam kilka logów ze skanowania. Po użyciu MHDD zmieniła się nazwa partycji systemowej z C:\ na F:\ i systemowym zarządzaniem dysków nie mogę ich zamienić, jaki program pozwoli mi zmienić nazwę partycji systemowej na C:\? OTL.Txt Extras.Txt mbam-log-2011-01-31 (17-47-31).txt Gmer.txt DrWeb.txt Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2011 Zgłoś Udostępnij Opublikowano 1 Lutego 2011 Niestety usuwanie nie wyjdzie poza to co już mówiłam. Nie widzę sensu prowadzić go ponownie, dopóki nie zostanie wykryte źródło problemu: Dysk wyzerowałem funkcją Erase w MHDD, wgrałem system od nowa ale są dalej infekcje, jest na pewno Sality oraz Trojan.KillAV także w likalizacji C:\ Windows\ system32\ drivers\ FLHLGM.SYS. Przeskanowałem również pozostałe partycje lecz są czyste, rejestr i pozostałe usługi nie działające poprzednio teraz działają, brakuje punktów przywracania i trybu awaryjnego, płyta instalacyjna jest czysta bo używałem jej wcześniej i nie było żadnych problemów ani infekcji. Po wymazaniu dysku nie ma szans, by Sality się ładował z tegoż dysku. Nie wierzę, że to wchodzi z nikąd, musisz sam nieświadomie używać coś co przywraca infekcję. Widzę możliwości: - Pozostałe dyski mają tego wirusa: czym je skanujesz? co na nich jest zlokalizowane? - Używana CD XP wbrew zapewnieniom nie jest czysta. I co to za płyta? Czy to aby nie jest jakaś modyfikacja pobrana z sieci? Widzę ślady używania jakiegoś tweakowanego źródła po formie nazw katalogu "Documents and settings" > "D & S" - Jest podawane jakieś dodatkowe medium. Na pewno nie było tu używanej dodatkowej CD np. ze sterownikami / programami? - W jaki sposób (czyli skąd) pobierasz instalki programów, bo nie wygląda, że ze strony producenta, skoro jest tu przestarzała wersja Adobe Reader 9 (aktualna to Adobe Reader X) i Java. Chyba, że te programy zostały zintegrowane z CD XP... - Czy był wykorzystywany jakiś "legalizator" / crack? Po użyciu MHDD zmieniła się nazwa partycji systemowej z C:\ na F:\ i systemowym zarządzaniem dysków nie mogę ich zamienić, jaki program pozwoli mi zmienić nazwę partycji systemowej na C:\? Liternictwo jest przypisywane w określonej kolejności. C zawsze jest przyznawane pierwszej partycji podstawowej o statusie aktywna (partycja trzyma pliki startowe, czyli BOOT.INI, NTLDR i NTDETECT.COM) i tego schematu nie da się zmienić. Jeśli partycja z Windows nie jest już oznaczona jako C, to prawdopodobne że to nie jest partycja spełniająca te wymagania. Możesz przedstawić układ partycji robiąc zrzut ekranu ze Start > Uruchom > diskmgmt.msc PS. "VundoFix Backups"? To narzędzie jest kompletnie przestarzałe i na nic się nie zda. . Odnośnik do komentarza
szopen64 Opublikowano 1 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2011 (edytowane) Płyta była lekko zmodyfikowana lecz nie była crackowana ani nie był użyty legalizator, przyczyna leżała w zainfekowanych sterownikach i ich kopiach. Po wgraniu kopii sterowników i restarcie automatycznie uaktywniał się wirus. Po przeskanowaniu wszystkich folderów i usunięciu infekcji wgrałem system ponownie, ustawiłem prawidłowo nazwę partycji i jeszcze raz przeskanowałem podejrzane foldery, programy oraz sterowniki i wgrałem je ponownie, zrobiłem skan systemu i jest czysto, wszystko się otwiera normalnie, nic się nie blokuje ani nie pokazuje żadnych nieprawidłowości. Na pewno czeka mnie w najbliższym czasie dokładny przegląd drugiego dysku, zrobienie kopii zdrowych plików i wymazanie drugiego dysku. Dziękuję picasso za pomoc i temat chyba można zamknąć. Edytowane 1 Lutego 2011 przez picasso OK, temat zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi