chilloucik Opublikowano 8 Lutego 2012 Zgłoś Udostępnij Opublikowano 8 Lutego 2012 A więc tak. Około półtora miesiąca temu, w Grudniu 2011 mój system zaczęły nękać przeróżne problemy. Szukałem pomocy, ale nie mogąc sobie z tym poradzić postawiłem na format. Po formacie przez jakiś czas wszystko chodziło ok, aż do przedwczoraj. Wszystko znowu się zaczęło. Problemy to między innymi: -Skype nie uruchamia się, proces włącza się na sekundę i znika. -Chwilowe momenty klatkowania komputera, co kilkanaście minut przez jakieś 3-5 sekund mam 1 klatkę na sekundę, niezależnie czy gram, oglądam film, czy przeglądam internet. -W opcjach folderów, kiedy zaznaczę "Pokaż ukryte pliki i foldery" pokazują się one, ale już po kilku chwilach znowu ustawia się na nie pokazywanie tych plików. -Nie mogę pobrać z sieci programu HiJackThis, próbowałem z różnych źródeł i serwerów - zawsze zatrzymuje się po sekundzie, albo w ogóle nie ściąga. (próbowałem na drugim komputerze i wszystko tam działa) Jestem pewien, że to jakaś infekcja, lecz po przeskanowaniu komputera Avastem, Dr. Web CureIt, Malwarebytes Anti-Malware, CCleanerem i zneutralizowaniu wyników skanowania nic się nie zmieniło. Załączam logi z OTL i Combofixa: OTL: http://wklej.org/id/684981/ Extras: http://wklej.org/id/684983/ Combofix: http://wklej.org/id/684970/ Za chwilę dorzucę log z GMER'a, jeszcze się skanuje. Odnośnik do komentarza
picasso Opublikowano 8 Lutego 2012 Zgłoś Udostępnij Opublikowano 8 Lutego 2012 Około półtora miesiąca temu, w Grudniu 2011 mój system zaczęły nękać przeróżne problemy. Szukałem pomocy, ale nie mogąc sobie z tym poradzić postawiłem na format. Po formacie przez jakiś czas wszystko chodziło ok, aż do przedwczoraj. Wszystko znowu się zaczęło. Jest tu kiepska sytuacja, a nawrót po formacie oznacza jedno z dwóch: formatowałeś tylko partycję z Windows zostawiając inne nietknięte i uruchomiłeś ręcznie z innej partycji plik przywracający wirusa lub podpiąłeś ponownie zarażony nośnik USB. Bo też i tu grasuje potworny wirus Sality niszczący wszystkie pliki wykonywalne na wszystkich dyskach, przy okazji wirus ten także kasuje Tryb awaryjny z rejestru. Obecność Sality potwierdza sterownik amsint32 pozornie "not found" (ComboFix go już nieudolnie kasował, ale to oczywiście wraca, bo wirus jest czynny i roznosi się konsekwentnie na coraz to inne pliki), procesy z temp, seria ukrytych plików autorun.inf na wszystkich dyskach, naruszone pliki Windows bez sygnatury oraz zarażone programy przechodzące w autoryzacjach zapory z dopiskiem "ipsec": DRV - File not found [Kernel | Unknown | Running] -- -- (amsint32) MOD - [2012-02-08 18:47:20 | 000,049,664 | ---- | M] () -- C:\Documents and Settings\Bartek\Ustawienia lokalne\temp\winrmbijo.exeMOD - [2012-02-08 18:43:11 | 000,012,970 | ---- | M] () -- C:\Documents and Settings\Bartek\Ustawienia lokalne\temp\winbhund.exe O32 - AutoRun File - [2012-02-08 18:37:09 | 000,000,301 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]O32 - AutoRun File - [2012-02-08 18:37:09 | 000,000,323 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]O32 - AutoRun File - [2012-02-08 18:36:42 | 000,000,241 | RHS- | M] () - E:\autorun.inf -- [ FAT ]O32 - AutoRun File - [2012-02-08 18:36:42 | 000,000,274 | RHS- | M] () - G:\autorun.inf -- [ NTFS ]O32 - AutoRun File - [2012-02-08 18:36:42 | 000,000,241 | RHS- | M] () - I:\autorun.inf -- [ FAT ] SRV - [2004-08-04 13:00:00 | 000,437,267 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\services.exe -- (PlugPlay)SRV - [2004-08-04 13:00:00 | 000,437,267 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\services.exe -- (Eventlog) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"C:\WINDOWS\system32\wpabaln.exe" = C:\WINDOWS\system32\wpabaln.exe:*:Enabled:ipsec -- (Microsoft Corporation)"C:\Program Files\PowerISO\PowerISO.exe" = C:\Program Files\PowerISO\PowerISO.exe:*:Enabled:ipsec -- (Power Software Ltd)"C:\Program Files\uTorrent\uTorrent.exe" = C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:ipsec -- (BitTorrent, Inc.)"C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" = C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe:*:Enabled:ipsec -- (LogMeIn Inc.)"G:\Fallout 3\FalloutLauncher.exe" = G:\Fallout 3\FalloutLauncher.exe:*:Enabled:ipsec -- (Bethesda Softworks)"C:\Program Files\Mozilla Firefox\firefox.exe" = C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:ipsec -- (Mozilla Corporation)"G:\Fallout New Vegas\FalloutNVLauncher.exe" = G:\Fallout New Vegas\FalloutNVLauncher.exe:*:Enabled:ipsec -- (Bethesda Softworks, Obsidian Entertainment)"G:\GTA SA\GTA San Andreas\samp.exe" = G:\GTA SA\GTA San Andreas\samp.exe:*:Enabled:ipsec -- ()"C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" = C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe:*:Enabled:ipsec -- (Malwarebytes Corporation)"I:\dllrun.exe" = I:\dllrun.exe:*:Enabled:ipsec -- (Microsoft Corporation)"C:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe" = C:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe:*:Enabled:ipsec -- (Creative Team S.A.)"C:\WINDOWS\system32\IPCONFIG.exe" = C:\WINDOWS\system32\IPCONFIG.exe:*:Enabled:ipsec -- (Microsoft Corporation)"C:\ComboFix\CF6697.3XE" = C:\ComboFix\CF6697.3XE:*:Enabled:ipsec"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Enabled:ipsec -- (Microsoft Corporation)"C:\DOCUME~1\Bartek\USTAWI~1\Temp\winbhund.exe" = C:\DOCUME~1\Bartek\USTAWI~1\Temp\winbhund.exe:*:Enabled:ipsec -- ()"C:\DOCUME~1\Bartek\USTAWI~1\Temp\winaptp.exe" = C:\DOCUME~1\Bartek\USTAWI~1\Temp\winaptp.exe:*:Enabled:ipsec"C:\DOCUME~1\Bartek\USTAWI~1\Temp\winrdnli.exe" = C:\DOCUME~1\Bartek\USTAWI~1\Temp\winrdnli.exe:*:Enabled:ipsec"C:\DOCUME~1\Bartek\USTAWI~1\Temp\winrmbijo.exe" = C:\DOCUME~1\Bartek\USTAWI~1\Temp\winrmbijo.exe:*:Enabled:ipsec -- () Jest to infekcja takiego rodzaju, że format okazać się może finałowo jedynym rozwiązaniem, dla jasności format wszystkich partycji i nie wolno pod żadnym pozorem nic typu wykonywalnego z tych dysków skopiować, gdyż geny wirusa rozniosą to po formacie. Pierwsze podejście: 1. Wstępne zablokowanie wykonawstwa z autorun.inf i kasacja niektórych obiektów (to nie zatrzyma wirusa). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Services amsint32 :Files autorun.inf /alldrives xfrrlr.exe /alldrives C:\WINDOWS\System32\ .cmd :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] ""="@SYS:DoesNotExist" [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. Zachowaj go do wglądu. 2. Pobierz SalityKiller. Wykonaj nim skan do skutku (powtarzany wielokrotnie, dopóki nie uzyskasz zwrotu zero zainfekowanych). 3. Pobierz Sality_RegKeys.zip, rozpakuj i ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 4. Wykonujesz nowe logi do oceny, czyli GMER i OTL. W OTL nie zapomnij ustawić opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania", by powstał też nowy Extras, zaś w sekcji Własne opcje skanowania / skrypt wklej: C:\*.* D:\*.* E:\*.* G:\*.* I:\*.* Klik w Skanuj (a nie Wykonaj skrypt!). Dorzuć log z wynikami usuwania z punktu 1. PS. HijackThis, KillBox, Flash Disinfector ... wszystko przeterminowane / mało przydatne w bieżącym świecie malware. . Odnośnik do komentarza
chilloucik Opublikowano 9 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2012 A więc tak: próbując wykonać punkt pierwszy, wciskając Wykonaj Skrypt wyłącza się explorer.exe, pojawia mi się okno z odliczaniem minuty, pisze coś o błędzie services.msc i system resetuje się, chyba że zatrzymam to shutdown -a. Po zatrzymaniu OTL poprosil o wcisniecie OK i zresetował mi system. Po włączeniu dostałem taki log: All processes killed ========== SERVICES/DRIVERS ========== Error: Unable to stop service amsint32! Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 deleted successfully. ========== FILES ========== File move failed. C:\autorun.inf scheduled to be moved on reboot. File move failed. D:\autorun.inf scheduled to be moved on reboot. File move failed. G:\autorun.inf scheduled to be moved on reboot. C:\xfrrlr.exe moved successfully. xfrrlr.exe not found in D:\ xfrrlr.exe not found in G:\ File\Folder C:\WINDOWS\System32\ .cmd not found. ========== REGISTRY ========== HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf\\""|"@SYS:DoesNotExist" /E : value set successfully! Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: All Users User: Bartek ->Temp folder emptied: 59396130 bytes ->Temporary Internet Files folder emptied: 1545984 bytes ->Java cache emptied: 269356 bytes ->FireFox cache emptied: 85434772 bytes ->Flash cache emptied: 5029 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 56475 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2114584 bytes %systemroot%\System32 .tmp files removed: 2596 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 214996 bytes RecycleBin emptied: 2144624 bytes Total Files Cleaned = 144,00 mb OTL by OldTimer - Version 3.2.31.0 log created on 02092012_150821 Files\Folders moved on Reboot... C:\autorun.inf moved successfully. D:\autorun.inf moved successfully. G:\autorun.inf moved successfully. C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\6tw1iiee.default\startupCache\startupCache.4.little moved successfully. C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\6tw1iiee.default\Cache\_CACHE_001_ moved successfully. C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\6tw1iiee.default\Cache\_CACHE_002_ moved successfully. C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\6tw1iiee.default\Cache\_CACHE_003_ moved successfully. C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\6tw1iiee.default\Cache\_CACHE_MAP_ moved successfully. C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\6tw1iiee.default\urlclassifier3.sqlite moved successfully. Registry entries deleted on Reboot... hmmm... coraz bardziej przekonuję się, że najlepszym wyjściem będzie format, ale poczekam jeszcze na twoją odpowiedź, mistrzu Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2012 Zgłoś Udostępnij Opublikowano 9 Lutego 2012 Błędy services.exe (to na pewno nie services.msc) są z winy czynnego wirusa, plik services.exe był przecież wskazywany przeze mnie jako zmodyfikowany przez wirusa (w logu brak sygnatury Microsoftu przy pliku). Ale co z dalszą częścią? Skrypt do OTL, jak mówiłam, to ledwie wstęp, wirus jest nadal czynny i bez pomocy skanera (SalityKiller) do niczego nie dojdziemy. Na podstawie wyników z marnego skryptu z pewnością nie można w ogóle ocenić sytuacji ani zakresu szkód. . Odnośnik do komentarza
chilloucik Opublikowano 9 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2012 Właśnie załączyłem SalityKiller i skanuję komputer, zobaczymy co z tego będzie. Wybacz przekręcenie Twej płci, nick mnie zmylił Odnośnik do komentarza
chilloucik Opublikowano 9 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2012 Skanuje mi się już długi czas, znalazło masę wirusów Sality, a to dopiero pierwsza partycja. Pisze ten post, żebyś nie pomyślała, że rzuciłem tą sprawę i poszedłem robić co innego. Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2012 Zgłoś Udostępnij Opublikowano 9 Lutego 2012 Nie, skądże. Wiem, że na to zejdzie masa czasu, tym bardziej, że musisz zatoczyć wielokrotne rundy z narzędziem, dopóki nie zwróci jasnego komunikatu, że nie wykrywa już Sality w żadnych plikach. Pojedynczy skan może być niewystarczający ... . Odnośnik do komentarza
chilloucik Opublikowano 9 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2012 (edytowane) Możesz być pewna, iż nie poprzestanę dopóki nie zwróci mi pożądanego komunikatu :-) Tak więc napiszę, kiedy skończę. Edytowane 12 Marca 2012 przez picasso 12.03.2012 - upłynął miesiąc, brak wyników, zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi