Wirus - Ghost.bat , Nethood.htm , WINDOWS.exe


(Blazejjba) #1

Mam problem z komputerem kolegi. Otóż zakupił zawirusowanego pendrive i na tym zaczął się problem. Na nim były pliki host.exe, WINDOWS.exe(z napisem na szaro pod spodem "gy"), ghost.bat, copy.exe oraz autorun.inf o z wpisem

"ShellExecute=copy.exe"

Więc wirus się uruchomił. Od tego czasu przy każdorazowym uruchomieniu pokazuje się błąd że aplikacja temp2.exe zostanie zamknięta... Myślę(a wręcz jestem pewny) że to jest to: http://www.symantec.com/security_respon ... 99&tabid=2

Wszystkie objawy wskazują na to. Po odłączeniu pendriva i oczyszczeniu ComboFixem pliki nie kopiują się już(bo zawsze 3 sekundy po usunięciu plik był znowu na każdym dysku(partycji)), ale z nadmienionego artykułu wynika że wirus nie jest jeszcze usunięty. A po drugie pendrive cały czas jest zawirusowany i na wszystkie sposoby nie idzie go oczyścić, cały czas się odnawia, po formatowaniu, nadpisywaniu itd.

Mam tylko jeden problem, otóż nie mogę ot tak jeździć do kolegi codziennie, a on nie ma internetu, a więc ciągłe wstawianie logów odpada...


(Henio Mazurek) #2

Z Twojego opisu wynika, że to wirus Perlovga.

Zastosuj na niego te programy (pendrive ma być podłączony)

http://www.searchengines.pl/index.php?s ... ntry369724

http://www.softpedia.com/get/Security/S ... Tool.shtml

Potem wklej tutaj te logi z ComboFix. Chociaż dziwna sprawa bo ComboFix usuwa w całości tą infekcje.


(Blazejjba) #3

No usuwa albo i nie usuwa bo niestety... na początku myślałem że C:\Windows\xcopy.exe to również wirus, bo za pierwszym razem combofix go usunął, ale po 5 sekundach był znowu, dopiero jak wczoraj usiadłem do internetu to okazało się że xcopy.exe służy do kopiowania przy pomocy wiersza polecenia. ALE: mimo że pendrive jest odłączony, po próbie usunięcia xcopy NATYCHMIAST na każdym dysku i każdym zapisywalnym urządzeniu USB(ale na pewno nie zawirowanym) pojawiają się pliczki wirusa :o ...

A więc myślę że zgodnie z moim angielskim artykułem jeszcze gdzieś siedzi(dokładniej w rejestrze) i się odnawia. Muszę jeszcze zadzwonić do niego niech sprawdzi czy zostało stworzone konto admin(ale czy ono nie może być ukyte tak jak konto "Administrator"? A to jest XP Home, więc brak dostępu do gpedit i lusrmgr.msc) i czy po próbie wklejenia ze schowka ma napis: "HELLO!"

I powiem szczerze, nie znam się na wirusach, i nie wiem czy ten Feldor to coś z grupy Perlovga czy to coś innego i moja hipoteza jest według Ciebie niepoprawna?


(Henio Mazurek) #4

Perlovga - opis zaraz w pierwszym poście

http://www.searchengines.pl/Infekcje-z- ... 94761.html

To część tego wirka. Poprawny xcopy.exe masz w c:\windows\system32.

W wersji Home nie ma gpedit, tego drugiego nie znam. Ale po wywołaniu przez Uruchom pisze, że w mojej wersji systemu (Home) opcja nie jest dostępna.

Ja bez logów nic niestety nie wyczaruję. Musisz podać.

Tutaj są oprócz Perlovgi inne infekcje z pendrive'a. Wyświetlają się może moje dokumenty przy starcie systemu? Poza tym może być problem z pokazywaniem plików ukrytych. Aby to odkręcić musisz dać logi, jak był ComboFix użyty to daj, możesz też dać z OTL i gmer

http://oldtimer.geekstogo.com/OTL.exe

http://www.gmer.net/

No i do zastosowania narzędzia które zlinkowałem w poprzednim poście.


(Blazejjba) #5

to taka dużo bardziej funkcjonalna wersja Kont Użytkowników i tam nic się nie ukryje.

Przy starcie systemu aktualnie nie wyświetla się już nic, jedyne co mnie niepokoi to ten xcopy.exe, nie ma żadnych problemów z plikami ukrytymi, narazie o logu z combofix mogę ci powiedzieć tyle że było pusto w other deletions później postaram się skombinować cały log bo muszę lecieć,

Zgadza się, tylko z tego co przeczytałem perlovga kombinuje z svchostem a tu CF nic nie wspomniał na ten temat, no i ten NetHood...

Dobrze, to jak wrócę zeedytują mój post i postaram się dodać loga.

-- Dodane 23.07.2009 (Cz) 22:55 --

ComboFix:

http://wklej.org/id/125318/

OTL:

http://wklej.org/id/125327/

GMER:

http://wklej.org/id/125329/

ale chyba coś zrobiło się nie tak...

Proszę o zwrócenie uwagi na wpis:

PRC - 2009-05-17 18:28:50 | 00,053,248 | ---- | M -- C:\WINDOWS\FONTS\48229.com

w uruchomionych procesach.

Z rejestru(Run) została usunięta, gorzej z folderem fonts, w eksploratorze nie widać, a przy próbie usunięcia w cmd, błąd nie można odnaleść pliku, a ścieżka jest na 100% procent poprawna.

Z kolei konta admin nie widać, schowek również działa poprawnie(brak napisu Hello)

Flash Desinfector z podpiętym zakażonym USB daje wynik Done, choć nic się nie zmienia się nic kompletnie nic.

Perlovga Removal Tool również pokazuje wszystko dobrze, ukończono, żadnych zmian nie ma.

Jedyna zmiana która BYŁA JUŻ gdy zajechałem do kolegi to brak pliku copy.exe.

Nie wiem jak to się usunęło...

Pozwolę sobie przytoczyć dokładny przebieg sprawy. Otóż z powodu tego wirusa, kolega mojego kolegi, spartolił całą sprawę reinstalując system(głupota) nic nie robiąc z pendrivem, więc przy kolejnym podpięciu wirus zagościł się na nowo. W dodatku poinstalował złe sterowniki, jakieś idiotyczne programy, namieszał wszędzie i jak to mówią, umył ręce :o . Więc ja z kolegą planujemy znowu reinstalować system. Sumienie może później nie da mi spokoju, wolałbym usunąć to ręcznie, ale może dało by się przez livecd sformatować pendriva i od razu reinstalować system, ta metoda chyba powinna pomóc jednak podkreślam wolałbym dowiedzieć się jak to usunąć...


(Henio Mazurek) #6

Wklej do notatnika

Zapisz jako CFScript.txt. Ten plik przeciągasz na ikonę ComboFix'a. Wklej powstały log.


(Blazejjba) #7

Witam i przepraszam za długi czas oczekiwania na odpowiedź, niestety dopiero dzisiaj byłem u kolegi. A więc sprawa ma się tak. Kolega pożyczył jeszcze jedną grę od kogoś(na płycie) i niefartownie ona również była zawirusowana. I mamy mega problem. Pewnie jest jakaś sztuczka która to odkręci, bo są poważne zmiany:

-Po próbie uruchomienia edytora rejestru z poziomu okna uruchom dostajemy komunikat: Edycja rejestru została wyłączona przez administratora sieci.

Żadnego pliku .reg również nie da się odpalić. Jest pewien wpis w rejestrze odpowiedzialny za to tylko nie wiem jaki.

-Zniknęło "Opcje folderów" z okna Mój komputer->Narzędzia, więc plików ukrytych już nie zobaczymy...

-I najważniejsze, po przeciągnięciu pliku skryptu na ikonę combofixa, ładuje się, i gdy przechodzi do robienia kopii rejestru, raz w 1 a raz w 11 etapie tworzenia kopii komputer resetuje się, wywalając komunikat: Zainicjowanie aplikacji "nie_pamiętam_jakiej" nie powiodło się bo stacja jest właśnie zamykana.

Normalna próba uruchomienia CF również kończy się fiaskiem.

Podczas normalnej pracy, w granicach 10 minut, pojawia się czarny ekran na sekundę, po czym komputer znów pracuje normalnie, a później znowu gdzieś pewno około 10 minut i wyłącza się.

I mała informacja, po podłączeniu pendriva nie kopiują się na niego już ghost.bat, nethood.htm, windows.exe, copy.exe, autorun.inf. Tylko sam ghost.bat i windows.exe.

Nie wiem już co mam robić.


(Henio Mazurek) #8

Pogratulować koledze. Tak to jest z pirackimi grami. Tym razem złapał rootkita Bagle/Sality.

Jak chce mieć czysty komputer to gry niech kupuje w sklepie.

Z tym to już tak łatwo nie będzie.

Poczytaj te tematy

http://www.searchengines.pl/Usuwanie-ro ... 06680.html

http://www.searchengines.pl/Infekcje-pl ... 22692.html


(Blazejjba) #9

No właśnie widzisz tak to jest z pożyczaniem z niezaufanych źródeł.

Co chodzi o ten pierwszy temat, to jeśli na moim komputerze, na pendrivie wpisze w nazwie combofixa losowy tekst, to nie zostanie on zablokowany? Ok to następnym razem wykonam te instrukcje z pierwszego tematu, a w tym drugim to jest tak zagmatwane, więc czy mógłbyś zrobić mi dedykowany opis co jak i gdzie, bo tam nie wszystkie sytuacje są identyczne z moimi(np. nie jest zablokowany menadżer zadań). Wiem że to trudna prośba do spełnienia, ale wtedy(myślę) że będzie większa szansa na usunięcie...


(Henio Mazurek) #10

Nie powinien.

Żeby była jasność, ja nie wiem co teraz kolega ma na kompie, jedynie zgaduję, skoro menadżer zadań nie jest wyłączony to może to być też jakiś robak. Tutaj dedykowany opis nie jest potrzebny. Wystarczy uruchomić ComboFix i log wszystko pokaże. Dobrze by było działać szybko, tak aby infekcja nie zdążyła się regenerować. Na czas usuwania niech kolega zrezygnuje ze swoich autodestrukcyjnych zapędów, bo do tej pory były tutaj te z cięższych infekcji.


(Blazejjba) #11

A więc potrzebny nowy combofix z zmianą nazwy na losową. Oczywiście uruchamiamy go razem ze skryptem, swoją drogą, przypadkiem nazwa CFScript.txt może też jest zablokowana? Na wszelki wypadek i to można by było zmienić na losową nazwę, tylko czy CF wtedy rozpozna że to ma wykonać?


(Henio Mazurek) #12

Nic już nie kombinuj. Uruchom ComboFix z dwukliku i wklej tu log.


(Blazejjba) #13

Log: http://wklej.org/id/131036/

Postanowiliśmy z kolegą reinstalować system, więc log wklejam tylko dla formalności, aczkolwiek chcę się upewnić czy jeśli przy pomocy WinPe sformatuję pendrive i później od nowa od razu zainstaluję system to czy wtedy nic po wirusie nie zostanie. Chcę się upewnić na 100%.


(Henio Mazurek) #14

To nie był ani Bagle ani Sality, ale i tak siedzi tu kilka rzeczy.

Najlepiej będzie z tą reinstalacją. Najpierw zainstaluj system, potem pobierz i uruchom FlashDisinfector. Upewnij się, że bezpośrednio na C, D itd są foldery o nazwach autorun.inf utworzone przez ten program. Wtedy podłączasz pendrive, PPM na nim i wybierasz Formatuj. Dodatkowo z podłączonym pendrive'm uruchom FlashDisinfector. No i do zainstalowania jakiś antywirus.


(Blazejjba) #15

A nie lepiej z WinPe formatować a dopiero później system? Taki miałem plan od początku, ale to drobny szczegół.


(Henio Mazurek) #16

Nie wiem dokładnie co to ten WinPe ale po sformatowaniu pendrive'a na zainfekowanym systemie może nic nie dać, bo infekcja i tak zdąży zapisać swój starter. Najlepiej zrobić to już po przeinstalowaniu systemu. Wtedy podłączasz tylko pedrive, PPM i Formatuj, dodatkowo ten FlashDisinfector. Właściwie to FlashDisinfector powinien być od razu użyty, zaraz po zainstalowaniu systemu. Na wszelki wypadek nie wchodź na dyski dopóki go nie użyjesz.


(Blazejjba) #17

Microsoft Windows Portable Edition 2.0(to kryje się w skócie WInPe). Jest to system obsługiwany z wiersza polecenia i uruchamiany z pendrive\płyty na zasadzie LiveCD. Więc na takie coś wirus według mnie nie przejdzie. Po drugie został już po nim tylko ghost.bat i windows.exe bez autoruna i copy.exe więc jestem prawieże pewny jednak wolę zapytać eksperta.

Cytat z wikipedii


(Henio Mazurek) #18

No spod tego WinPE można sformatować.