Skocz do zawartości

Win32.Virut.56, Win32.Virut.5


Rekomendowane odpowiedzi

Witam. Komputer znajomego. Objawy to restarty systemu, szczególnie przy uruchamianiu programów, nieaktywny Avast. Po wyeliminowaniu grzejącego się procesora, skan drWeb z poziomu LiveCD. Za pierwszym razem wykrył ponad 1000 wirusów nazwanych Win32.Virut.56, Win32.Virut.5 i kilka o innych niestety niezapamiętanych nazwach. Niestety zabrakło powierzchni na dysku do zakończenia skanu. Po usunięciu plików przywracania systemu drugi skan i wyglada na to, że wszystko jest usunięte. System działa ale kulawo -np msconfig i kilka programów nie uruchamia się. Załączam raport z drWeb, OTL i Gmer z prośbą o sprawdzenie i ew. doczyszczenie oraz pomoc w naprawie systemu. Pozdrawiam

OTL.Txt

Extras.Txt

gmer.txt

Kopia raport1.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Obecność infekcji wykonywalnych może implikować grubsze odświeżenie plików metodą reinstalacji tego co nie działa.

 

 

System działa ale kulawo -np msconfig i kilka programów nie uruchamia się.

 

To wygląda na skutki po obecności wirusa Virut. Albo pliki uszkodzone leczeniem, albo to pliki nadal zainfekowane. I owszem, msconfig nie ma wcale sygnatury Microsoftu:

 

O4 - HKLM..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE ()

Jest więcej plików oznaczonych jako zmodyfikowane, choć te pliki przewijają się właśnie jako "wyleczone" w Dr. Web, z tym że niestety niektóre wyglądają na uszkodzone tym procesem (nie mają sygnatury MS):

 

SRV - [2011-06-10 15:37:23 | 000,083,968 | ---- | M] () [On_Demand | Stopped] -- C:\WINDOWS\system32\smlogsvc.exe -- (SysmonLog)

SRV - [2011-06-10 15:36:05 | 000,028,672 | ---- | M] () [On_Demand | Stopped] -- C:\WINDOWS\system32\mnmsrvc.exe -- (mnmsrvc)

 

[2011-06-10 15:37:57 | 000,053,248 | ---- | M] (Socket Communications Inc.) -- C:\WINDOWS\System32\drivers\SCTray.exe

[2011-06-10 15:37:30 | 000,057,344 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\drwtsn32.exe

[2011-06-10 15:37:26 | 000,132,096 | ---- | M] () -- C:\WINDOWS\System32\sndvol32.exe

[2011-06-10 15:37:24 | 000,142,848 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\sndrec32.exe

[2011-06-10 15:37:23 | 000,083,968 | ---- | M] () -- C:\WINDOWS\System32\smlogsvc.exe

[2011-06-10 15:37:21 | 000,337,920 | ---- | M] () -- C:\WINDOWS\System32\mspaint.exe

[2011-06-10 15:37:19 | 000,165,888 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\ie4uinit.exe

[2011-06-10 15:37:11 | 000,045,056 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\odbcad32.exe

[2011-06-10 15:37:09 | 000,057,344 | ---- | M] () -- C:\WINDOWS\System32\cleanmgr.exe

[2011-06-10 15:37:05 | 000,130,048 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\winmine.exe

[2011-06-10 15:36:54 | 000,067,584 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\sol.exe

[2011-06-10 15:36:40 | 000,039,936 | ---- | M] () -- C:\WINDOWS\System32\ssmypics.scr

[2011-06-10 15:36:36 | 000,192,512 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dwwin.exe

[2011-06-10 15:36:33 | 000,038,912 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\verclsid.exe

[2011-06-10 15:36:30 | 000,445,952 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\wiaacmgr.exe

[2011-06-10 15:36:29 | 000,088,576 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\telnet.exe

[2011-06-10 15:36:25 | 000,138,240 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\mshearts.exe

[2011-06-10 15:36:05 | 000,028,672 | ---- | M] () -- C:\WINDOWS\System32\mnmsrvc.exe

[2011-06-10 15:36:02 | 000,066,048 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\freecell.exe

[2011-06-10 15:35:57 | 000,091,136 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\charmap.exe

[2011-06-10 15:35:50 | 000,198,656 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\accwiz.exe

Nie podoba mi się ten wynik w GMER (sugeruje podmieniony / zainfekowany plik):

 

.text   C:\WINDOWS\Explorer.EXE[1904] C:\WINDOWS\Explorer.EXE                                                               section is writeable [0x01001000, 0x44C09, 0xE0000020]

.reloc C:\WINDOWS\Explorer.EXE[1904] C:\WINDOWS\Explorer.EXE section is executable [0x010FB000, 0xA800, 0xE0000060]

W OTL proces shella stoi z bardzo świeżą datą:

 

PRC - [2011-06-10 13:52:28 | 001,028,096 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

 

No cóż, mogę zacząć od podmiany plików, które widzę jako zdefektowane, ale obawiam się że mam zbyt wąskie pole widzenia. To tylko wybiórczy log z OTL i nie jestem w stanie precyzyjnie wykryć ilości zaszłych modyfikacji w całym systemie ....

 

 


 

1. Przesyłam czyste kopie powyższych plików (explorer.exe + te bez sygnatury) w wersjach zgodnych z XP SP3: KLIK. Rozpakuj do katalogu C:\Pliki, gdyż tę ścieżkę uwzględniam w komendach.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\System32\F8635D
C:\WINDOWS\System32\8570B6
C:\WINDOWS\System32\24D33D
C:\WINDOWS\System32\181BBB
C:\WINDOWS\System32\dllcache\explorer.exe|C:\Pliki\explorer.exe /replace
C:\WINDOWS\System32\dllcache\smlogsvc.exe|C:\Pliki\smlogsvc.exe /replace
C:\WINDOWS\System32\dllcache\mnmsrvc.exe|C:\Pliki\mnmsrvc.exe /replace
C:\WINDOWS\System32\dllcache\sndvol32.exe|C:\Pliki\sndvol32.exe /replace
C:\WINDOWS\System32\dllcache\mspaint.exe|C:\Pliki\mspaint.exe /replace
C:\WINDOWS\System32\dllcache\cleanmgr.exe|C:\Pliki\cleanmgr.exe /replace
C:\WINDOWS\system32\dllcache\MSCONFIG.EXE|C:\Pliki\msconfig.exe /replace
C:\WINDOWS\explorer.exe|C:\Pliki\explorer.exe /replace
C:\WINDOWS\System32\smlogsvc.exe|C:\Pliki\smlogsvc.exe /replace
C:\WINDOWS\System32\mnmsrvc.exe|C:\Pliki\mnmsrvc.exe /replace
C:\WINDOWS\System32\sndvol32.exe|C:\Pliki\sndvol32.exe /replace
C:\WINDOWS\System32\mspaint.exe|C:\Pliki\mspaint.exe /replace
C:\WINDOWS\System32\cleanmgr.exe|C:\Pliki\cleanmgr.exe /replace
C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE|C:\Pliki\msconfig.exe /replace
netsh firewall reset /C
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
 
:OTL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - No CLSID value found.
O4 - HKLM..\Run: [55B310]  File not found
O4 - Startup: C:\Documents and Settings\Właściciel\Menu Start\Programy\Autostart\55B310.lnk =  File not found
O9 - Extra 'Tools' menuitem : Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found
O9 - Extra Button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} -  File not found
O9 - Extra Button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} -  File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij przyciskiem Wykonaj skrypt. System będzie restartował, a po automatycznie otworzy się log z wynikami.

 

3. Do deinstalacji śmieci / adware:

 

  • W Dodaj / Usuń programy pozbądź się: Babylon-English Toolbar, MediaBar, Conduit Engine, facemoods, Seekdns, ShopperReports.
  • W menedżerze rozszerzeń Firefox usuń: Babylon-English Toolbar, Facemoods, Seekdns

4. Generujesz do oceny nowy zestaw logów OTL + GMER. Dołącz także log z usuwania OTL wygenerowany w punkcie 2.

 

 

 

 

.

Odnośnik do komentarza

W załączeniu logi po skrypcie. Mam nadzieję, że to iż jeszcze nie usunęłem śmieci jak niżej nie przeszkadza w ocenie. System pracuje lepiej ale występuje np. błąd rundll.32 przy próbie wyłączenia wygaszacza ekranu.

 

3. Do deinstalacji śmieci / adware:

W Dodaj / Usuń programy pozbądź się: Babylon-English Toolbar, MediaBar, Conduit Engine, facemoods, Seekdns, ShopperReports.

W menedżerze rozszerzeń Firefox usuń: Babylon-English Toolbar, Facemoods, Seekdns

06102011_214945.txt

gmer.txt

OTL.Txt

Odnośnik do komentarza

Po wymianie pliku explorer.exe w GMER zanikły zapisy .reloc + .text. Reszta zadania prawie wykonana, za wyjątkiem komendy resetu ustawień zapory (moja pomyłka, ze zmęczenia nie dopisywałam parametru)

 

Start > Uruchom > cmd i wklep komendę netsh firewall reset

 

Poza tym, wszystkie programy, które nie działają po leczeniu w Dr. Web, należy przeinstalować z nowych instalatorów.

 

 

System pracuje lepiej ale występuje np. błąd rundll.32 przy próbie wyłączenia wygaszacza ekranu.

 

Jeden z wygaszaczy ekranu też tu był leczony Dr. Web i widać jego plik jako zmodyfikowany:

 

2011-06-10 01:36:41 PM              Scanner       Info cured 1 files: /win/C:/WINDOWS/system32/ssmypics.scr;

Który wygaszacz jest teraz ustawiony w opcjach oraz jak dokładnie jest sformułowany błąd z rundll32?

 

 

Mam nadzieję, że to iż jeszcze nie usunęłem śmieci jak niżej nie przeszkadza w ocenie.

 

Jaki jest powód braku wykonania zadania? To adware (jedno z nich jest uruchomione jako proces) i miało być usunięte, bym teraz mogła się zająć czyszczeniem po tym, bo pół raportu jest tym wytapetowane. Czekam na przeprowadzenie zadania i logi po deinstalacji.

 

 

 

.

Odnośnik do komentarza

- komenda resetu firewalla wykonana

- deinstalacja śmieci wykonana - w trakcie deinstalacji Conduit Engine pojawił się komunikat o braku uprawnień, ale zapis w dodaj-usuń programy zniknął

- problem z wygaszaczem - nadal istnieje. Rzeczywiście włączony jest wygaszacz:

Jeden z wygaszaczy ekranu też tu był leczony Dr. Web i widać jego plik jako zmodyfikowany:

 

2011-06-10 01:36:41 PM Scanner Info cured 1 files: /win/C:/WINDOWS/system32/ssmypics.scr;

Przy edycji tj. po PPM na ekranie ->Właściowści -> kliknięcie zakladki "Wygaszacz ekranu" we właściwościach Ekran następuje komunikat o błędzie z aplikacją rundll32.exe. Po 2-3 krotnym kliknięciu zamknij tworzone są pliki tymczasowe np. 292c_appcompat.txt i c236_appcompat.txt które załączam. Próba kliknięcia debuguj kończy się komunikatem o błędzie aplikacji drwatson32.exe i tworzy się plik appcompat.txt.

Wejście do Właściwości: Ekran poprzez Panel Sterowania->Ekran jest bezproblemowe i pozwala zmienić wygaszacz, ale zmiana na inny nadal powoduje problemy przy próbie edycji PPM na ekranie ->Właściowści -> kliknięcie zakladki "Wygaszacz ekranu"

- po opisanych wyżej próbach zmiany wygaszacza na ekranie pozostają ślady po otwieranych oknach - brak możliwości odświeżenia pulpitu

Pozdrawiam

OTL.Txt

Extras.Txt

gmer.txt

Odnośnik do komentarza

Te pliki z błędami nic nie mówią i nie są mi potrzebne, usuwam te Załączniki. Skoro to dokładnie ten sam wygaszacz, który był leczony w Dr. Web, to nasuwa się, by plik wymienić świeżą kopią. Widocznie leczenie Dr. Web równało się tu zdefektowaniu pliku.

 

1. Przesyłam czystą kopię ssmypics.scr: KLIK. Wsadź go do C:\Pliki.

 

2. Ładuj skrypt przeprowadzający wymianę plików + sprzątanie po deinstalacjach. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\System32\dllcache\ssmypics.scr|C:\Pliki\ssmypics.scr /replace
C:\WINDOWS\System32\ssmypics.scr|C:\Pliki\ssmypics.scr /replace
 
:OTL
SRV - File not found [Auto | Stopped] --  -- (Seekdns Service)
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "BearShare Web Search"
FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com/"
O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} -  File not found
O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} -  File not found
O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} -  File not found
O4 - HKLM..\RunOnce: [removeBearSharedatamngr]  File not found
O4 - HKLM..\RunOnce: [removeBearSharetoolbar]  File not found
[2010-08-27 16:46:59 | 000,002,226 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
[2010-03-28 18:56:18 | 000,002,035 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\fcmdSrchFxt.xml
[2011-06-11 14:46:25 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\~0
[2010-08-27 16:50:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Właściciel\Dane aplikacji\facemoods.com
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt.

 

3. Wystarczy, że zaprezentujesz tylko log z usuwania OTL. Dołącz natomiast log z AD-Remover.

 

 

 

 

.

Odnośnik do komentarza

W porządku. Skrypt OTL pomyślnie wykonany, AD-Remover też przeprowadził roboty porządkowe.

 

1. Drobny import do rejestru usuwający resztki. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
 
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\0d1964e4-f91f-4d3b-8700-8576bc041ce6]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\e9b9c387-2798-438b-9dd6-9ab9af787f77]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Posprzątaj po używanych narzędziach: w OTL użyj Sprzątanie + odinstaluj AD-Remover (zadbaj, by zniknął z dysku folder C:\Program Files\Ad-Remover).

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

4. Wykonaj pełny skan za pomocą Kaspersky Virus Removal Tool i przedstaw wyniki.

 

 

 

.

Odnośnik do komentarza

Wyniki z Kasperskiego są trochę niepokojące, gdyż one sugerują, że działanie Virut wcale nie zostało wstrzymane akcjami Dr. Web i wirus tu się roznosił aż do teraz. Wyników z katalogu System Volume Information też wcale nie powinno być, gdyż katalog ten czyści wykonany już tu proces z punktu 3.... Obecność tego w skanie Kasperskiego wskazuje, że Przywracanie systemu tworzyło nowy punkt uwzględniając pliki zainfekowane. Ponów czyszczenie folderów Przywracania systemu. Następnie dla pewności wykonaj skanowanie Kasperskym raz jeszcze. Jeśli będzie czysto, wtedy założę, że Virut jest naprawdę ubity.

Odnośnik do komentarza

Tym razem nic szczególnego. Poza podejrzanym załącznikiem e-mail:

 

2011-06-13 13:50:48	Zagrożenie: Trojan-Spy.HTML.Fraud.gen	Wiadomość pocztowa				

2011-06-13 13:52:00 Zagrożenie: Trojan.JS.Fraud.ap Załącznik e-mail CV.html

2011-06-13 13:52:00 Usunięty: Trojan.JS.Fraud.ap Załącznik e-mail CV.html

... przeprowadzony typ skanu wyszczególnia luki w sofcie. Ten etap zawsze jest przeze mnie realizowany po ukończeniu dezynfekcji = aktualizacja software. I właśnie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{7148F0A8-6813-11D6-A77B-00B0D0142050}" = Java 2 Runtime Environment, SE v1.4.2_05

"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish

"Gadu-Gadu" = Gadu-Gadu 7.7

"Google Chrome" = Google Chrome

"HijackThis" = HijackThis 1.99.1

"Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17)

  • Aktualizacja przeglądarek, Flash w wersji dla Firefox (pobieranie i instalacja z poziomu Firefox), Adobe Reader: INSTRUKCJE.
  • Archaiczna Java i zdezelowany HijackThis do całkowitej eliminacji.
  • Kaspersky wyszczególnia jeszcze luki CloneDVD + Office. Wejdź w podawane w skanerze linki i oglądnij co należy zaktualizować.
  • GG7 ani nie jest w stanie obsłużyć własnej sieci, ani nie jest bezpieczne użytkowo. Namówić znajomego na wymianę. W temacie Darmowe komunikatory do wglądu opisy AQQ, Kadu, WTW i Miranda. Osobiście polecam WTW.

 

 

.

Edytowane przez picasso
25.07.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...