Aktywacja złośliwego oprogramowania przy wejściu partycje

Dla specjalistów Bezpieczeństwo
#1

Mój komputer przeszedł nie dawno format partycji c:, po wgraniu oprogramowania avast poinformował że na partycjach c: d: e: znajduje sie złośliwe oprogramowanie które identyfikuje jako Win32: Rootkit-gen, wcześniej nie można było wejść do partycji inaczej niż przez opcje eksploruj póki nie usunęło sie z rejestru klucza/folderu? “MountPoints2”. Trochę popytałem wuja google - jednak wychodzi na to ze żeby usunąć paskudę należy wyeliminować wszystkie pliki z rejestru+usunąć pliki których nie potrafię zlokalizować.

Wdzięczny byłbym za rozwiązanie tego problemu z dość szczegółową instrukcją cobym czegoś nie spaprał.

Logi:

OTL http://www.wklejto.pl/79617

Extras http://www.wklejto.pl/79618

*edit - Nowe logi + dodatkowym mankamentem jest to ze gdy próbuje zmienić stan widoku w opcji folderów by widzieć ukryte pliki to windows ignoruje to polecenie.

#2

Wykonaj ten skrypt otl i daj log z czyszczenia i nowe logi ze skanowania:

:OTL

O32 - AutoRun File - [2010-10-19 13:27:31 | 000,000,055 | RHS- | M] () - C:\\autorun.inf -- [NTFS]

O32 - AutoRun File - [2010-10-19 13:27:32 | 000,000,055 | RHS- | M] () - D:\\autorun.inf -- [FAT32]

O32 - AutoRun File - [2010-10-19 13:27:31 | 000,000,055 | RHS- | M] () - E:\\autorun.inf -- [NTFS]

O33 - MountPoints2\\{3c057513-da00-11df-bfaf-806d6172696f}\\Shell\\AutoRun\\command - \"\" = E:\\kyme.exe -- File not found

O33 - MountPoints2\\{3c057513-da00-11df-bfaf-806d6172696f}\\Shell\\open\\Command - \"\" = E:\\kyme.exe -- File not found

O33 - MountPoints2\\{3c057514-da00-11df-bfaf-806d6172696f}\\Shell\\AutoRun\\command - \"\" = D:\\kyme.exe -- File not found

O33 - MountPoints2\\{3c057514-da00-11df-bfaf-806d6172696f}\\Shell\\open\\Command - \"\" = D:\\kyme.exe -- File not found

O33 - MountPoints2\\{3c057517-da00-11df-bfaf-806d6172696f}\\Shell\\AutoRun\\command - \"\" = C:\\kyme.exe -- File not found

O33 - MountPoints2\\{3c057517-da00-11df-bfaf-806d6172696f}\\Shell\\open\\Command - \"\" = C:\\kyme.exe -- File not found

O33 - MountPoints2\\{7f2863c7-db3a-11df-b0da-000461553d1b}\\Shell\\AutoRun\\command - \"\" = G:\\kyme.exe -- File not found

O33 - MountPoints2\\{7f2863c7-db3a-11df-b0da-000461553d1b}\\Shell\\open\\Command - \"\" = G:\\kyme.exe -- File not found

O34 - HKLM BootExecute: (autocheck autochk *) - File not found
#3

Wykonanie skryptu:

http://www.wklejto.pl/79628

Logi po wykonaniu

Otl : http://www.wklejto.pl/79629

Drugi plik nie wyskoczył.

#4

Widzę że infekcja autorunem wróciła czyli coś przeoczyłem w logu ale chyba wiem co.

Ta infekcja roznosi się przez pendrivy więc jeśli masz jakieś to podłącz je i zrób ponowny skan otl (aby upewnić się czy nie ma na nich syfu i ewentualnie oczyścić) - daj logi ale nie odłączaj penów.

Jeśli nie masz pendrivów to można od razu czyścić, wykonaj poniższy skrypt i daj nowe logi (nie wykonuj skryptu jeśli masz pena bo to nie ma sensu - skrypt nie oczyści pena):

:OTL

MOD - [2010-10-19 12:50:01 | 000,112,640 | RHS- | M] () -- C:\\Documents and Settings\\a1\\Ustawienia lokalne\\Temp\\apiqq0.dll

O4 - HKU\\S-1-5-21-796845957-507921405-1644491937-1004..\\Run: [api32] C:\\DOCUME~1\\a1\\USTAWI~1\\Temp\\apiqq.exe File not found

O32 - AutoRun File - [2010-10-19 13:59:34 | 000,000,055 | RHS- | M] () - C:\\autorun.inf -- [NTFS]

O32 - AutoRun File - [2010-10-19 13:59:36 | 000,000,055 | RHS- | M] () - D:\\autorun.inf -- [FAT32]

O32 - AutoRun File - [2010-10-19 13:59:34 | 000,000,055 | RHS- | M] () - E:\\autorun.inf -- [NTFS]
#5

scripter1 , no niestety ale usuwasz nie to co trzeba:

Ten wpis zawsze tak domyślnie wygląda w Windows.

Wartość trzeba będzie przywracać…

ktevar , z podłączonymi pendrive zaprezentuj raport ze skanowania UsbFix z opcji Listing.

#6

deFco247 , ale reszta z tego skryptu co dałem jest chyba dobrze.

UsbFixa miałem koledze polecić po sprawdzeniu loga z otl przy podłączonych penach (a w zasadzie to FlashDisinfectora - oba działają podobnie z tego o wiem).

#7

Flash Disinfector nie tworzy raportów, więc nie wiadomo czy infekcja dalej by przesiadywała na dyskach, a co najważniejsze potrafi on usuwać tylko pliki autorun.inf.

#8

Po przeskanowaniu OTL z dołączonym penem

Logi:

Otl http://wklejto.pl/79649

extras http://wklejto.pl/79650

W międzyczasie próbowałem ściągnąć usbfix’a - link z tematu jest najwyraźniej zdezaktywowany, google tez pomocą nie służy jako ze odnośniki są albo zdezaktywowane albo sa to podróbki.

Pokornie czekam na dalsze wskazówki i czy mam użyć teraz drugiego skryptu czy będzie jakaś modyfikacja? :slight_smile:

#9

Faktycznie, nie działa strona domowa tego programu.

Znalazłem go niby ale nie mam pewności czy to na pewno ten program bo go nie używałem (mój antywir nie wykrywa w tym syfu): http://www.przeklej.pl/plik/usbfix-exe-00220gb4m1dc

Skoro taka jest sytuacja z UsbFixem to chyba najlepiej użyć OTLa a potem FlashDisinfectora aby zabezpieczyć się przed infekcjami autorun.inf

W logu widzę że na penie też masz wirusa (tak jak się spodziewałem), ten skrypt powinien chyba usunąć syfy, softonic toolbar też chyba jest zbędny ( deFco247 , skoryguj jeśli coś pomyliłem):

:OTL

MOD - [2010-10-19 12:50:01 | 000,112,640 | RHS- | M] () -- C:\\Documents and Settings\\a1\\Ustawienia lokalne\\Temp\\apiqq0.dllO2 - BHO: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\\Program Files\\Softonic_France\\tbSoft.dll (Conduit Ltd.)

O3 - HKLM\\..\\Toolbar: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\\Program Files\\Softonic_France\\tbSoft.dll (Conduit Ltd.)

O4 - HKU\\S-1-5-21-796845957-507921405-1644491937-1004..\\Run: [api32] C:\\DOCUME~1\\a1\\USTAWI~1\\Temp\\apiqq.exe File not found

O32 - AutoRun File - [2010-10-19 18:55:40 | 000,000,055 | RHS- | M] () - C:\\autorun.inf -- [NTFS]

O32 - AutoRun File - [2010-10-19 18:55:42 | 000,000,055 | RHS- | M] () - D:\\autorun.inf -- [FAT32]

O32 - AutoRun File - [2010-10-19 18:55:40 | 000,000,055 | RHS- | M] () - E:\\autorun.inf -- [NTFS]

O32 - AutoRun File - [2010-10-19 18:55:42 | 000,000,055 | RHS- | M] () - G:\\autorun.inf -- [FAT]

O33 - MountPoints2\\{7f2863c7-db3a-11df-b0da-000461553d1b}\\Shell\\AutoRun\\command - \"\" = kyme.exe

O33 - MountPoints2\\{7f2863c7-db3a-11df-b0da-000461553d1b}\\Shell\\open\\Command - \"\" = kyme.exe
#10

dodaje zaległy log z usbfix’a. Plik z linku który podał scripter1 zachowam gdzieś w archiwach, może jeszcze sie przydać.

USBfix http://wklejto.pl/79661

#11

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

podłącz pena

OTL w oknie Custom Scans-Fixes wklej następujący skrypt:

Kliknij w Run Fix. Zatwierdź restart komputera.

zastosuj Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

potem nowy log OTL robiony opcją Run Scan

:slight_smile:

#12

Informuje że powyższy skrypt wykonałem czego efektem była sytuacja w której po restarcie systemu - zawieszał sie po okresie od 3 do 30s. Poleciał format zarówno c: jak i mojej mp3.

Poniżej załączam logi z obecnego stanu systemu:

Extras http://www.wklejto.pl/79696

OTL http://www.wklejto.pl/79697

usbfix: http://www.wklejto.pl/79698

#13

Prosiłbym jednak, żebyś nie wklejał logów na wklejto.pl, gdyż na tej stronie ukośniki się duplikują, co utrudnia tworzenie skryptu.

Infekcji już w tych logach nie widać, więc sprawę można uznać za zakończoną.

W OTL użyj opcji Sprzątanie.

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP/Vista/Windows 7.

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Obowiązkowo do aktualizacji ma pójść:

Internet Explorer 8 (nawet nieużywany wymaga aktualizacji, gdyż wpływa on na pewną część funkcji w systemie)

Java 6 Update 22

mozilla Firefox 3.6.11/4.0 beta