Usuwanie znanych wirusów - Sality itp

[Gutek]

Usuwanie Sality:

W logach zobaczymy ten syf:
- w OTL:

DRV - File not found [Kernel | On_Demand | Running] -- -- (abp470n5)
DRV - File not found [Kernel | On_Demand | Running] -- -- (dpti930)
DRV - File not found -- -- (dac970nt [On_Demand | Running])

- w Combofix:

S3 abp470n5;abp470n5; [x]
R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\aaaaa.sys []
R3 dac970nt;dac970nt;\??\d:\windows\system32\drivers\erknun.sys --> d:\windows\system32\drivers\erknun.sys [?]

*NewlyCreated* - DAC970NT
*NewlyCreated* - ABP470N5

INSTRUKCJA USUWANIA:

1. Wyłączyć przywracanie systemu na wszystkich dyskach:

- Instrukcja XP: Prawoklik na Mój Komputer>>>>Właściwości>>Przywracanie systemu>> wyłącz przywracanie systemu na wszystkich dyskach.
- Instrukcja VISTA: START>>>Panel Sterowania>>>System>>>Ochrona Systemu>>>Kontynuuj>>>w polu "Dostępne dyski" usuń zaznaczenia z okienek przy tych dyskach>>>Zastosuj>>>OK.



2. Pobrać Dr. Web CureIt, kliknąć na link PPM ---> Zapisz element docelowy jako ---> zapisz jako typ wszystkie pliki pod dowolną nazwą, ale z rozszerzeniem .com. Wykonać pełne skanowanie, wyleczyć możliwe pliki, a pozostałe usunąć.

(Dodatkowo można użyć- Kaspersky Virus Removal Tool, podobnie jak wyżej wykonać pełne skanowanie, znaleziony syf usunąć [- pamiętajcie używamy tylko i wyłącznie DR WEB CureIt, nie zamiennie z KVRT! - dodatkowo tylko wtedy skanujemy KVRT jak użyliśmy już Dr. Web!].)

3. Dodatkowo można użyć jeszcze jakiegoś skanera online:
http://www.bitdefender.com/scanner/online/free.html (Internet Explorer)
http://housecall.trendmicro.com/ (Internet Explorer lub Firefox)
http://housecall.trendmicro.com/housecall7/ (Internet Explorer lub Firefox)
http://support.f-secure.com/enu/home/ols.shtml (Firefox 3.0 oraz Internet Explorer 6-7.)
http://www.arcabit.pl/content/view/124/145/lang,polish/ (Internet Explorer. By uruchomić narzędzie w iE, należy w przeglądarce dodać adres arcaonline do Zaufanych Witryn)
http://www.mks.com.pl/skaner/ (Internet Explorer)
http://www.eset.com/onlinescan/ (Internet Explorer, Firefox / Opera / Safari)
http://onecare.live.com/site/en-US/default.htm
http://www.emsisoft.com/en/software/ax/

4. W przypadku problemów z uruchomieniem systemu(XP) należy wykonać nakładkę na Windowsa bez utraty danych.
Po instalacji wyłączyć przywracanie systemu na wszystkich dyskach.

Obowiązkowo po tych czynnościach nalezy na forum umieścić logi z OTL, GMER i SREng.


Szczepionki na Sality:

od AVG

rmsality

od Kaspersky

Sality_Killer


Płyty ratunkowe CD z AV: - KLIKNIJ i PRZECZYTAJ

Przykłady z forum:
- post2393706.html?hilit=Sality#p2393706
- alarmy-aviry-sality-t368924.html?hilit=Sality
- post2383037.html?hilit=Sality#p2383037
- post2337892.html?hilit=Sality#p2337892
- post2411570.html#p2411570

[Gutek]

Usuwanie Win32.Hidrag / Win32.HLLP.Jeefo.A / PE_JEEFO.A

Jeefo montuje usługę PowerManager w pliku C:\WINDOWS\svchost.exe (nie pomylić z systemowym plikiem C:\WINDOWS\system32\svchost.exe)

W OTL:

SRV - File not found [Auto | Stopped] -- -- (PowerManager)

W HJT:

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

W Combo:

-------\Legacy_POWERMANAGER

ComboFix automatycznie kasuje tą usługę.

Inne narzędzie usuwające infekcję:

- Jeefo Disinfector

Dodatkowo należy pobrać Dr. Web CureIt i wykonać pełny skan.

Przykłady z forum:
- problem-otwieraniem-plikow-exe-wirus-w32-hidraq-t371028.html
- czy-wszystkie-wirusy-zostaly-usuniete-win32-jeefo-t223505.html
- win32-jeefo-wirus-robak-t108471.html

Poradnik w budowie!

[Gutek]

Ogłoszenie:


Posiadacze Windows 7 uważajcie na trojana sshnas.dll, dziwnym trafem jest do pobrania na stronie http://www.dll-files.com/ (celowo link skrócony, żeby ktoś przypadkiem nie pobrał pliku), nie ściągać nie pobierać i nie szukać w necie.


Infekcja znana od dawna - http://www.prevx.com/filenames/X7067157 ... S.DLL.html , lecz nie dla skanerów


W logu widać:

O4 – HKCU\..\Run: [Videohost] C:\DOCUME~1\ADMINI~1\hahdadad~1\Temp\c.exe
O4 – HKCU\..\Run: [SSHNAS] rundll32.exe C:\Windows\system32\sshnas.dll,DllWork

Jak usunąć w OTL:

:OTL

:services
SSHNAS

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Videohost"=-
"SSHNAS"=-

:files
%windir%\msa.exe
%windir%\system32\sshnas.dll
%windir%\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
%windir%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

:Commands
[emptytemp]
[Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

[Gutek]

Usuwanie Win32.Parite.A/B/C, Win32.Parite.2

Po uruchomieniu przez użytkownika zainfekowanej aplikacji wirus infekuje pamięć explorer.exe, a po tym pliki wykonywalne na dysku EXE / SCR - przykład ze skanu Dr. Web CureIt:

vso_image_resizer2_setup_2.1.8.2.exe;D:\;Win32.Parite.2;Cured.;
ALLPlayer(dobreprogramy.pl).exe;D:\moje;Win32.Parite.2;Cured.;
ALLPlayer_FULL(dobreprogramy.pl).exe;D:\moje;Win32.Parite.2;Cured.;
ffdshow_rev2754_20090310_clsid.exe;D:\moje;Win32.Parite.2;Cured.;
flashplayer10_install_activex_091508.exe;D:\moje;Win32.Parite.2;Cured.;
iplasetup.exe;D:\moje;Win32.Parite.2;Cured.;
Ivona_Demo_16kHz-1.0.10_Install.exe;D:\moje;Win32.Parite.2;Cured.;
nowegg.exe;D:\moje;Win32.Parite.2;Cured.;
PictureResizeGeniusEn.exe;D:\moje;Win32.Parite.2;Cured.;
realalt190.exe;D:\moje;Win32.Parite.2;Cured.;
setuppol.exe;D:\moje;Win32.Parite.2;Cured.;
SkypeSetup.exe;D:\moje;Win32.Parite.2;Cured.;
SkypeSetupFull.exe;D:\moje;Win32.Parite.2;Cured.;
ts2_client_rc2_2032.exe;D:\moje;Win32.Parite.2;Cured.;
utorrent.exe;D:\moje;Win32.Parite.2;Cured.;
winamp5552_full_emusic-7plus_pl-pl.exe;D:\moje;Win32.Parite.2;Cured.;
h3ccmped.exe;D:\moje\Heroes of Might and Magic III Complete;Win32.Parite.2;Cured.;
h3maped.exe;D:\moje\Heroes of Might and Magic III Complete;Win32.Parite.2;Cured.;
Heroes3.exe;D:\moje\Heroes of Might and Magic III Complete;Win32.Parite.2;Cured.;
bsplayer228[1].963_clip.exe;D:\moje\New Folder (2);Win32.Parite.2;Cured.;
CrashReporter.exe;D:\Nowe Gadu-Gadu;Win32.Parite.2;Cured.;
gg.exe;D:\Nowe Gadu-Gadu;Win32.Parite.2;Cured.;
open-fm.exe;D:\Nowe Gadu-Gadu;Win32.Parite.2;Cured.;
spellchecker_gg.exe;D:\Nowe Gadu-Gadu;Win32.Parite.2;Cured.;
Uninstall.exe;D:\Nowe Gadu-Gadu;Win32.Parite.2;Cured.;
Hummer.exe;D:\Program Files\1C Company\4x4 Hummer;Win32.Parite.2;Cured.;
java.exe;D:\Program Files\1C Company\4x4 Hummer\jre\bin;Win32.Parite.2;Cured.;
javaw.exe;D:\Program Files\1C Company\4x4 Hummer\jre\bin;Win32.Parite.2;Cured.;
jpicpl32.exe;D:\Program Files\1C Company\4x4 Hummer\jre\bin;Win32.Parite.2;Cured.;
jucheck.exe;D:\Program Files\1C Company\4x4 Hummer\jre\bin;Win32.Parite.2;Cured.;
jusched.exe;D:\Program Files\1C Company\4x4 Hummer\jre\bin;Win32.Parite.2;Cured.;
keytool.exe;D:\Program Files\1C Company\4x4 Hummer\jre\bin;Win32.Parite.2;Cured.;
kinit.exe;D:\Program Files\1C Company\4x4 Hummer\jre\bin;Win32.Parite.2;Cured.;
klist.exe;D:\Program Files\1C Company\4x4 Hummer\jre\bin;Win32.Parite.2;Cured.;
ktab.exe;D:\Program Files\1C Company\4x4 Hummer\jre\bin;Win32.Parite.2;Cured.;
orbd.exe;D:\Program Files\1C Company\4x4 Hummer\jre\bin;Win32.Parite.2;Cured.;
policytool.exe;D:\Program Files\1C Company\4x4 Hummer\jre\bin;Win32.Parite.2;Cured.;
rmid.exe;D:\Program Files\1C Company\4x4 Hummer\jre\bin;Win32.Parite.2;Cured.;
rmiregistry.exe;D:\Program Files\1C Company\4x4 Hummer\jre\bin;Win32.Parite.2;Cured.;
servertool.exe;D:\Program Files\1C Company\4x4 Hummer\jre\bin;Win32.Parite.2;Cured.;
tnameserv.exe;D:\Program Files\1C Company\4x4 Hummer\jre\bin;Win32.Parite.2;Cured.;
javaws.exe;D:\Program Files\1C Company\4x4 Hummer\jre\javaws;Win32.Parite.2;Cured.;
UninstWA.exe;D:\Winamp;Win32.Parite.2;Cured.;
winamp.exe;D:\Winamp;Win32.Parite.2;Cured.;
winampa.exe;D:\Winamp;Win32.Parite.2;Cured.;

INSTRUKCJA USUWANIA:

1. Wyłączyć przywracanie systemu na wszystkich dyskach: - opis wyżej!

1. Pobrać- Kaspersky Virus Removal Tool i wykonać pełne skanowanie, znaleziony syf usunąć.


2. Dodatkowo można użyć jeszcze jakiegoś skanera online:
http://www.bitdefender.com/scanner/online/free.html (Internet Explorer)
http://housecall.trendmicro.com/ (Internet Explorer lub Firefox)
http://housecall.trendmicro.com/housecall7/ (Internet Explorer lub Firefox)
http://support.f-secure.com/enu/home/ols.shtml (Firefox 3.0 oraz Internet Explorer 6-7.)
http://www.arcabit.pl/content/view/124/145/lang,polish/ (Internet Explorer. By uruchomić narzędzie w iE, należy w przeglądarce dodać adres arcaonline do Zaufanych Witryn)
http://www.mks.com.pl/skaner/ (Internet Explorer)
http://www.eset.com/onlinescan/ (Internet Explorer, Firefox / Opera / Safari)
http://onecare.live.com/site/en-US/default.htm
http://www.emsisoft.com/en/software/ax/

3. W razie problemów użyć płyty ratunkowe CD z AV: - KLIKNIJ i PRZECZYTAJ

Narzędzie usuwające infekcję:

- Avast! Virus Cleaner

- rmparite.exe


- Win32.Parite.A/B/C



Przykłady z forum:
- post2397599.html?hilit=Win32.Parite#p2397599
- wylaczajacy-sie-nieaktywny-antywirus-t374689.html
- post2397599.html?hilit=Win32.Parite#p2397599

[Gutek]

Usuwanie Virut, Win32:Virut, Win32.Virtob / Win32:Vitro / W32.Splendor / Win32.Cheburgen

Może, a nie musi w logu pojawić się:

- w Combofix:

C:\documents and settings\admin\reader_s.exe
C:\windows\system32\7.tmp
C:\windows\system32\drivers\ntndis.sys - plik będzie zmodyfikowany!
C:\windows\system32\reader_s.exe

. . . jest zainfekowany!!

. . . jest zainfekowany!!

. . . jest zainfekowany!!

==================== Find3M ====================

2009-01-25 11:56 182,912 a------- c:\windows\system32\drivers\ndis.sys


------- Sigcheck -------

2009-01-25 11:56 213888 558635d3af1c7546d26067d5d9b6959e c:\windows\system32\dllcache\ndis.sys
2009-01-25 11:56 213888 558635d3af1c7546d26067d5d9b6959e c:\windows\system32\drivers\ndis.sys


detected NTDLL code modification:
ZwOpenFile

ndis.sys - w tym wypadku plik należy podmienić z czystej kopii systemu - plik musi być zgodny z wersją Service Packa jaką mamy na komputerze.



- w OTL:

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

- Dodatkowo na komputerze nieustanne tworzą się plików .tmp w folderze system32.


INSTRUKCJA USUWANIA:


1. Na niezainfekowanym komputerze proszę nagrać płytkę ratunkową - Dr.Web LiveCD
2. Nagraną płytę wkładamy do napędu na zainfekowanym komputerze(zakładam, że w biosie jest ustawione bootowanie CD/DVD, gdy tak jest to po restarcie powinien uruchomić się skaner).
3. Wykonujemy pełny skan tyle razy, aż Dr.Web usunie wszystko.
4. Po skanowaniu uruchamiamy na nowo System. (W przypadku problemów z uruchomieniem systemu(XP) należy wykonać nakładkę na Windowsa bez utraty danych.)
5. Pobieramy Dr. Web CureIt i wykonujemy pełne skanowanie. Gdy skaner nic nie znajdzie to znaczy, że udało się nam usunąć Viruta.
6. Dla pewności, czy już jest Ok, należy pobrać i przeskanować system narzędziem ComboFix i na forum wrzucić log.


UWAGA:
- przed rozpoczęciem skanowania skanerem z płyty CD/DVD - należy się upewnić czy możemy zrobic nakładkę na Windowsa.
- wszystkie programy, które po skanie nie będą działały należy przeinstalować.

Po wykonaniu instalacji nakładkowej należy:
- wyłączyć przywracanie systemu na wszystkich dyskach: - opis wyżej! - przy opisie Sality.
- pobrać- Dr. Web CureIt i wykonać pełne skanowanie, znaleziony syf usunąć.
- pobrać - ComboFix przeskanować system i dać loga do sprawdzenia na forum.


Gdy opisany sposób nie pomoże pozostaje nam - Format wszystkich partycji i dysków.


Narzędzie usuwające infekcję:

- Win32/Virut Remover 1.2.0.532


- rmvirut.exe i rmvirut.nt - ściągamy dwa pliki w jedno miejsce i uruchamiamy rmvirut.exe

- W32.Virut Removal Tool

- inne szczepionki na Virut-a


Inne płyty ratunkowe CD z AV: - KLIKNIJ i PRZECZYTAJ

Przykłady z forum:
- post2412938.html?hilit=Virut#p2412938
- post2389865.html?hilit=Virut#p2389865
- post2374028.html?hilit=Virut#p2374028

[Gutek]

Usuwanie Rootkit TDSS / TDL aka Win32/Olmarik, Win32/Alureon, Backdoor.Tidserv i infekcje w MBR dysków i rootkit TDL4 / TDL3

Platforma: Windows 2000/XP/Vista/7 32-bit i 64-bit

NARZĘDZIA USUWAJĄCE INFEKCJĘ:


1. Kaspersky TDSSKiller - ARTYKUŁ(opis)
2. Kaspersky TDSSKiller.zip
3. aswMBR - ARTYKUŁ(opis)
4. aswMBR