Skocz do zawartości

Infekcja Internet Security - blokada poleceń w CMD


Rekomendowane odpowiedzi

Witam

System został zainfekowany wirusem Internet Security + kolegów których pościągał :). Po pojawieniu się Internet Security antywirus (Microsoft Security Essentials) został wyłączony i nie można było go uruchomić tak jak większości programów. Internet działał ale co chwila wyskakiwały jakieś okienka, polecenia "ipconfig" "ping" w CMD przestały działać, po ich wpisaniu wyskakuje komunikat "nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne, program wykonywalny lub plik wsadowy" polecenie DIR i CD działają.

Jedynym programem jaki mi się udało uruchomić był Norman Malware Cleaner, zaraz po jego uruchomieniu z opcja pełne skanowanie udało się uruchomić MSE który też uruchomiłem z opcja pełne skanowanie. Po zakończeniu skanowanie obu programów przeskanowałem system jeszcze Super Anti spyware i Spybot - Search & Destroy (Spybot nic nie znalazł).

Po przeskanowaniu komputera i ponownym uruchomieniu przestały działać klawiatura i myszka. Pomogło przełączenie myszki w inny port USB. W menadżerze urządzeń pojawiły mi się wykrzykniki koło urządzeń: klawiatura, myszka, napęd DVD i porty COM, pozbyłem się ich po usunięciu i ponownej instalacji urządzeń. Nadal nie mam dostępu do poleceń CMD. Połączenie lokalne nie działa mimo że 2 komputerki się świeca a w właściwościach na zakładce obsługa i w szczegółach brak jakikolwiek wpisów mimo ustawionych adresów na sztywno. Nie można też uruchomić usługi zapora systemowa wyskakuje komunikat "Nie można uruchomić usługi Zapora systemu Windows/Udostępnianie połączenia internetowego na komputerze lokalnym Błąd 2: Nie można odnaleźć określonego pliku".

Logi z SecurityCheck nie zrobiły się mimo uruchomienia programu (to penie za sprawa blokady poleceń).

Jeszcze jedno po przeskanowaniu systemu wyżej wymienionymi programami przywróciłem system z kopii kontrolnej system z 7 Lutego (infekcje usuwałem 21 Lutego).

post-3906-0-71515600-1330279223_thumb.png

Nmc_2012-02-21_17-29-12.log.txt

SUPERAntiSpyware Scan Log - 02-21-2012 - 19-20-11.log.txt

Extras.Txt

OTL.Txt

GAMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Log z GMER zrobiony w złych warunkach, nie usunąłeś sterownika SPTD (KLIK).

 

 

Jeszcze jedno po przeskanowaniu systemu wyżej wymienionymi programami przywróciłem system z kopii kontrolnej system z 7 Lutego (infekcje usuwałem 21 Lutego).

 

System był zainfekowany rootkitem ZeroAccess i to nie jest wyczyszczone do końca, mimo cofnięcia stanu systemu. W GMER nadal widać zablokowane łącze symboliczne rootkita:

 

---- Files - GMER 1.0.15 ----

 

File C:\WINDOWS\$NtUninstallKB29167$\1720522594 0 bytes

File C:\WINDOWS\$NtUninstallKB29167$\1720522594\L 0 bytes

File C:\WINDOWS\$NtUninstallKB29167$\1720522594\U 0 bytes

File C:\WINDOWS\$NtUninstallKB29167$\1856541435 0 bytes

 

Wg OTL działo się, notowalne odświeżenie sterowników systemowych (rootkit je infekował) oraz obiekty wtórne:

 

[2012-02-23 13:21:29 | 000,053,248 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\i8042prt.sys

[2012-02-23 13:21:27 | 000,065,280 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\serial.sys

[2012-02-23 13:21:24 | 000,058,880 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\redbook.sys

[2012-02-23 13:21:23 | 000,062,976 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\cdrom.sys

 

[2012-02-21 18:59:25 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\invxnfkj.sys

[2012-02-21 18:43:23 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\oddlmtuu.sys

[2012-02-21 18:37:12 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\xrlstkpx.sys

[2012-02-21 18:11:51 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\tdhjzjyk.sys

[2012-02-21 17:54:46 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\skqoashd.sys

[2012-02-21 17:48:39 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\svbzgmmt.sys

[2012-02-21 17:34:33 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\fcffiqfk.sys

 

[2012-02-21 16:15:24 | 000,000,000 | -HS- | M] () -- C:\WINDOWS\System32\dds_trash_log.cmd

 

 

polecenia "ipconfig" "ping" w CMD przestały działać, po ich wpisaniu wyskakuje komunikat "nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne, program wykonywalny lub plik wsadowy" polecenie DIR i CD działają. (...) Nadal nie mam dostępu do poleceń CMD.

 

Niedziałające polecenia: prawdopodobnie wina uszkodzonych Zmiennych środowiskowych, OTL pokazuje "not found" w miejscach gdzie nie powinno to mieć miejsca, a odczyt taki jest charakterystyczny dla naruszonego Path. Przy naruszeniu Path wpisanie komendy ping zwróci jej nierozpoznanie, ale jeżeli wpiszesz pełną ścieżkę dostępu C:\Windows\system32\ping.exe, narzędzie się uruchomi.

 

 

 

1. Pobierz i uruchom zgodnie z wytycznymi ComboFix.

 

2. Przedstaw raport z działania ComboFix oraz zrobione już po nowe logi z OTL + GMER + Farbar Service Scanner.

 

 

 

.

Odnośnik do komentarza
Wyłączyłem serownik SPTD programem Defogger. Sterownik prawdopodobnie należał do programu CDBurnerXP wiec odinstalowałem program.

 

Wątpię, że to pochodna CDBurnerXP, nie przypominam sobie, by ten program kiedykolwiek tworzył SPTD. Moim zdaniem ten sterownik to jest pozostałość innej aplikacji. Deinstalacja programu nie usuwa sterownika SPTD, należy zająć się nim indywidualnie.

 

 


ComboFix dokasował łącze symboliczne rootkita, kilka innych obiektów, oraz uzupełnił brakujące pliki sieciowe:

 

c:\windows\system32\drivers\afd.sys - brakowało pliku 

Plik odzyskano z - c:\windows\system32\dllcache\afd.sys

.

c:\windows\system32\drivers\netbt.sys - brakowało pliku

Plik odzyskano z - c:\windows\ServicePackFiles\i386\netbt.sys

.

c:\windows\system32\drivers\ipsec.sys - brakowało pliku

Plik odzyskano z - c:\windows\ServicePackFiles\i386\ipsec.sys

 

1. Poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\System32\drivers\invxnfkj.sys
C:\WINDOWS\System32\drivers\oddlmtuu.sys
C:\WINDOWS\System32\drivers\xrlstkpx.sys
C:\WINDOWS\System32\drivers\tdhjzjyk.sys
C:\WINDOWS\System32\drivers\skqoashd.sys
C:\WINDOWS\System32\drivers\svbzgmmt.sys
C:\WINDOWS\System32\drivers\fcffiqfk.sys
C:\WINDOWS\System32\dds_trash_log.cmd
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami usuwania.

 

2. Napraw Zmienne środowiskowe. Panel sterowania > System > Zaawansowane > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa:

 

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem

 

Jeśli w ogóle jej nie ma, opcją Nowa utwórz. Jeśli jest, ale ma inny ciąg, zedytuj.

 

3. Do oceny wystarczy tylko log z wynikami usuwania z punktu 1. Wypowiedz się też wyraźnie co nadal nie działa w systemie.

 

 

 

.

Odnośnik do komentarza

Kolejne czynności do przeprowadzenia:

 

1. Odinstaluj w prawidłowy sposób ComboFix, co także wyczyści foldery Przywracania systemu. W Start > Uruchom > wklej komendę:

 

"C:\P LOGI\ComboFix.exe" /uninstall

 

Przez SHIFT+DEL skasuj folder C:\WINDOWS\ERDNT (kopia rejestru wygenerowana przez ComboFix). Na koniec zastosuj Sprzątanie w OTL, które usunie program i jego kwarantannę.

 

2. Na wszelki wypadek wykonaj jeszcze skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie wykryte.

 

PS. I odinstaluj Spybot - Search & Destroy. Program słaby, świetność za sobą.

 

 

 

.

 

 

Odnośnik do komentarza

1. Wyniki MBAM: Nie ma co panikować, to wygląda na resztki po infekcji. Usunąłeś, zakładam, że MBAM nic więcej nie widzi. W związku z ujawnieniem nowego elementu ponów czyszczenie folderów Przywracania systemu, tym razem ręcznie: KLIK.

 

2. Wykonaj aktualizacje oprogramowania: KLIK. Na Twojej liście zainstalowanych m.in. widzę:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 26

"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish

"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy

 

Spybota odinstaluj. Dziś program więcej jedzie na starej opinii aniżeli faktycznych zdolnościach. Za to zostaw sobie MBAM, jako skaner na żądanie.

 

3. Wykonaj prewencyjną wymianę haseł logowania w serwisach.

 

 

.

Odnośnik do komentarza

Aktualizacja zrobiona Java 7.3 a Adobe Reader zamieniłem na Foxit Reader 5.1.4 (który lepiej stosować adobe czy foxit).

 

Mam jeszcze jeden problem z siecią internet chodzi dobrze ale LAN już nie. Mam dyska NAS i nie mogę się do niego dostać. Z panelem kontrolnym przez przeglądarkę łączę się bez problemu ale do danych przez skrót sieciowy lub za pomocą start->uruchom i adresu ip nie mogę się dostać wyskakuje komunikat

skrót "Dysk lub połączenie sieciowe, do którego odnosi się skrót ,,XXX" jest niedostępny"

uruchom->Ip "Żaden dostawca sieciowy nie zaakceptował podanej ścieżki sieciowej"

tak samo jest z danymi udostępnionymi z innego komputera.

Zrobiłem jeszcze test ze strona www.onet.pl, do przeglądarki wpisałem adres IP 213.180.146.27 i wyskoczył mi komunikat "Strona o podanym adresie nie istnieje. Zapraszamy na domeny.onet.pl" w innym komputerze strona otwiera się (wiadomo że nie kompletan) a po wpisaniu www.onet.pl wszystko chodzi dobrze.

Ponowny skan MBAM i Microsoft Security Essentials nic nie wykryły.

 

Problem rozwiązany :)

Przyczyną było brak pliku mrxsmb.sys w C:\WINDOWS\system32\drivers bez którego nie chciała się uruchomić usługa "przeglądarka komputera".

Edytowane przez krzyd
Odnośnik do komentarza
Adobe Reader zamieniłem na Foxit Reader 5.1.4 (który lepiej stosować adobe czy foxit).

 

Moim zdaniem wybór charakteru "przyjemności" obsługi. Foxit od dawna nie jest traktowany przeze mnie jako "chuda alternatywa". Takową był na początku, aż zaczęto pakować w instalator śmieci sponsoringowe Ask (skutecznie mnie to odrzuciło od tej aplikacji). Czyli cel domyślny aplikacji to zaśmiecić preferencje przeglądarki. Producent robiący umyślne opt-in ma jasny cel, manipulacja by zainstalować. Wiadomo, odznaczyć można, ale ile osób początkujących i nastawionych na "Dalej, Dalej ..." to zrobi?

Z bezpieczeństwem też trudno postawić jednoznaczną opinię. Zachodziły nawety ironie sytuacyjne, gdy to polecano Foxit zamiast Adobe, podczas gdy w Foxit też luki i infekcje były możliwe. Obie aplikacje mają podatność, w obu są wykrywane luki od czasu do czasu, obie trzeba łatać i starać się mieć zawsze najnowsze wydanie.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...