Skocz do zawartości

Wirus recycler


Rekomendowane odpowiedzi

Dzięki za uświadomienie błędu, teraz postaram się napisać poprawnie

Typ systemu: 32bitowy

 

jaki to wirus dowiedziałem się po przegrywaniu informacji na telefon, dopiero tam znajdowały sie pliki: EXPLORER.EXE, AutoRun.inf, RECYCLER

myślałem że program ComboFix sobie z wirusem poradzi jednak jak uświadomiła mnie osoba poniżej tak sie nie powinno stać

 

Jeśli jeszcze coś trzeba dopisać dajcie znać

ComboFix.txt

OTL.txt

Extras.txt

GMER.txt

Edytowane przez picasso
Temat poprawiłeś, logi przerzucam do Załączników. //picasso
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Niestety, tu nie tylko jest obecna prosta infekcja, o której mówisz. Widnieje tu także rootkit (uxjoved.dll) oraz wirus Sality który niszczy wszystkie pliki wykonywalne na wszystkich dyskach.

 

1. Usuwanie wstępne składników (to nie zatrzyma infekcji Sality). Otwórz Notatnik i wklej w nim:

 

Driver::
dpti930
wbfrumhkb
nnbktndg
 
NetSvc::
wbfrumhkb
 
File::
c:\windows\system32\uxjoved.dll
c:\windows\system32\EXPLORER.EXE
c:\documents and settings\BBB\Menu Start\Programy\Autostart\ctfmon.exe
 
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"7349:TCP"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

cfscript.gif

 

2. Pobierz SalityKiller i za jego pomocą przeprowadź leczenie plików. Do skutku (nie może pozostać ani jeden zainfekowany plik).

 

3. Pobierz Sality_RegKeys.zip, rozpakuj i ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

4. Przejdź do Dodaj / Usuń programy i odinstaluj śmieci Conduit Engine + Softonic-Polska Toolbar.

 

5. Po wykonaniu wszystkich zadań i restarcie komputera: wytwarzasz nowe logi z OTL i GMER, dołączasz także log powstały z usuwania ComboFix w punkcie 1 oraz słowne podsumowanie pracy SalityKiller. Logi - korzystaj z funkcji Załączniki, temat jest bardziej czytelny.

 

 

 

 

.

Odnośnik do komentarza

Masz na myśli chyba "ani jeden zainfekowany". Oceniając wyniki: ComboFix wykonał tylko część roboty (jak mówiłam, usuwanie za jego pomocą obiektów Sality nie wstrzymuje rekonstrukcji) i obiekty związane z wirusem natychmiast po usuwaniu powróciły, plus z niewiadomej przyczyny nie ruszył sfałszowanych plików explorer.exe + cftmon.exe, a także pozostał plik DLL rootkita. SalityKiller zadziałał, gdyż usługa Sality już nie widnieje w logu OTL (mimo, że we wcześniejszym ComboFix była oznaczona jako utworzona zaraz po usuwaniu). Natomiast pozostały pliki Sality na dyskach (autorun.inf + gjjvvv27.exe) oraz fałszywy zestaw mimetyzujący komponenty Windows (Recycled, explorer.exe, ctfmon.exe - ten ostatni zresztą w autoryzacjach zapory przechodzi z oznaczeniem "ipsec", czyli podwójna infekcja = wirus Sality zainfekował plik infekcji).

 

 

1. Uruchom OTL i w polu Własne opcje skanowania / skrypt wklej:

 

:Files
autorun.inf /alldrives
gjjvvv27.exe /alldrives
Recycled /alldrives
C:\Documents and Settings\BBB\Menu Start\Programy\Autostart\ctfmon.exe
C:\WINDOWS\System32\uxjoved.dll
[override]
C:\WINDOWS\System32\EXPLORER.EXE
[stopoverride]
 
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_CLASSES_ROOT\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}]
@="URL Exec Hook"
[HKEY_CLASSES_ROOT\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}\InProcServer32]
@="shell32.dll"
"ThreadingModel"="Apartment"
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz z tego działania log.

 

2. Dla pewności: ponownie uruchom SalityKiller i sprawdź czy nie ma jakiś nowych zainfekowanych plików. Ostatni odczyt z OTL ma oznaczenie "ipsec" nie tylko dla infekcyjnego ctfmon.exe ale i WinAmpa...

 

3. Wytwórz nowy log z OTL, ale na dostosowanym warunku. W polu Własne opcje skanowania / skrypt wklej:

 

C:\*.*

D:\*.*

E:\*.*

F:\*.*

Klik w Skanuj (a nie Wykonaj skrypt!). Dołącz także log powstały z usuwania OTL w punkcie 1.

 

 

.

Odnośnik do komentarza

Wszystko zostało wykonane, szkodliwe pliki zostały bez trudu przesunięte do kwarantanny. W nowym OTL nie widzę już żadnych znaków infekcji.

 

1. Odinstaluj ComboFix w prawidłowy sposób. W Start > Uruchom > wklej polecenie: C:\ComboFix.exe /uninstall

 

2. W OTL wywołaj funkcję Sprzątanie, co usunie kwarantannę i program OTL.

 

3. Wykonaj pełny skan za pomocą narzędzia Kaspersky Virus Removal Tool i przedstaw wyniki.

 

4. Wszystkie programy, które przestały działać, należy przeinstalować. M.in. jest tu poszkodowany Spik, którego plik główny ComboFix wycinał już na samym początku.

 

 

 

.

Odnośnik do komentarza

1. Są tu trzy grupy wyników:

 

  • Szkodliwy plik facebook-pic00005267.exe (usunięty) oraz ChromeSetup.exe (jeśli to prawdziwy instalator GoogleChrome, to być może to fałszywy alarm).
  • Wszystkie foldery o nazwie Qoobox to są kwarantanny ComboFix. ComboFix już tu był odinstalowywany, to muszą być foldery pochodzące z innych wystąpień ComboFix. Z dysków D + E + F przez SHIFT+DEL skasuj owe foldery.
  • Foldery System Volume Information to foldery Przywracania systemu. Wyczyścisz je w następujący sposób: INSTRUKCJE.

2. Aktualizacja software:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish

"Gadu-Gadu" = Gadu-Gadu 7.7

"Spik" = Spik

  • Widzialny tu Adobe Reader do deinstalacji i zastąpienia przez najnowszy Adobe Reader X (odptaszkuj montaż sponsora McAfee).
  • GG7 + Spik: Oba programy nie nadają się na dzień dzisiejszy do obsługi Gadu z podstawowego powodu = brak zgodności. Oglądnij sobie temat Darmowe komunikatory i poczytaj opisy alternatyw z lepszą obsługą Gadu: AQQ, Kadu, WTW, Miranda. Osobiście polecam WTW.

3. Wreszcie: system nie ma żadnych zabezpieczeń. W pierwszym skrypcie ComboFix importowałam do rejestru wpis zabezpieczający przed infekcją z pendrive (blokowanie interpretacji autorun.inf przez system), ale to za mało. Jest potrzebny przynajmniej antywirus z osłoną rezydentną.

 

Podsumuj na koniec co się dzieje w systemie, czy są jakieś widoczne problemy i czy coś jeszcze należy naprawiać.

 

 

 

.

Odnośnik do komentarza

Polecenia wykonane :)

Jeśli chodzi o działanie systemu to wydaje sie że funkcjonuje poprawnie i nic nie wzbudza moich podejrzeń

a co do antywirusa to chodzi mi po głowie albo awast albo kaspersky, może jakaś podpowiedź ?

 

dzięki wielkie za pomoc :thumbsup: trzeba będzie pomyśleć o wsparciu tak dobrego forum :D

Odnośnik do komentarza
a co do antywirusa to chodzi mi po głowie albo awast albo kaspersky, może jakaś podpowiedź ?

 

Bez sprzeciwu. Wybierz ten, który Ci bardziej odpowiada. Tu dodatkowo załączam opcjonalnie jeszcze inne typy oprogramowania (wersje darmowe):

 

Mała uwaga: pewne funkcje (mam na myśli osłonę proaktywną / HIPS) się skrzyżują i wybierając dwa programy wykazujące tę cechę należy w jednym z nich ją zdeaktywować, by nie przedobrzyć.

 

 

 

.

Edytowane przez picasso
13.06.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...