Zawirusowany system (sality, rootkit, brontok[?])

Dla specjalistów Bezpieczeństwo
#1

Witam tak jak napisałem w temacie mój system jest zawirusowany. Wirusy zarażają pliki .exe. Nie wiem jak sobie mam z tym poradzić :(. Z góry dziękuję za pomoc :slight_smile:

#2

Przeskanuj dysk za pomocą:

  1. Dr.Web CureIt lub KLIK Przeskanuj wszystkie dyski: KLIK

  2. Kaspersky Virus Removal Tool 2011 lub KLIK

W zakładce Scan scope zaznacz wszystkie dyski:

Pokaż logi z OTL gdy skanery nie beda wykrywały zainfekownych plików.

OTL - Raport obowiązkowy:

http://forum.dobreprogramy.pl/analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741

#3

Dr.Web Curelt pracuje już 2 godziny znaleziono 12 500 zagrożeń, do końca pozostało 3 godziny skanowania. Program znajduje (i leczy?) praktycznie cały czas dwa pliki, które się cały czas powtarzają. Są to C:\User\PC\AppData\Local\Temp\002CAC17_Rar\Silkroad.exe  oraz  C:\Users\PC\AppData\Local\Temp\002CAC94_Rar\WinRAR.exe. Co mam zrobić? Nadal czekać do końca skanowania ? Czy jest to bez sensu?

#4

Oczywiście ciąg cyfr i liter po  “\Temp…” ulega zmianie.

#5

Skanuj tyle razy aż programy nie będą znajdować żadnych zainfekowanych plików.

#6

Okk. Dzięki :wink:

Podczas neutralizacji plików programem Dr. Web Curelt występują błędy i program przerywa działanie.

OTL http://wklej.org/id/1191989/

Extras http://wklej.org/id/1191991/

Użycie procesora wynosi 100%, podczas gdy nie ma uruchomionych żadnych programów.

#7

Nadal aktywny jest wirus Jeefo infekujący pliki wykonywalne. Skanuj nadal lub formatuj dysk.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
SRV - [2001-08-24 19:00:00 | 000,036,352 | --S- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\svchost.exe -- (PowerManager)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
O32 - AutoRun File - [2013-11-29 15:56:00 | 000,000,288 | RHS- | M] () - C:\autorun.inf -- [NTFS]
O32 - AutoRun File - [2013-11-27 17:28:25 | 000,000,272 | RHS- | M] () - D:\autorun.inf -- [NTFS]
[2013-11-29 15:56:00 | 000,139,492 | RHS- | M] () -- C:\mkjwvv.exe
[2013-11-29 15:35:34 | 000,139,492 | ---- | M] () -- C:\xinm.exe
:Files
C:\Users\PC\AppData\Local\*.exe
C:\Users\PC\AppData\Local\*Bron*
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
:Commands
[resethosts]
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż logi z OTL gdy skanery nie bedą wykrywały zainfekowanych plików.

#8

OTL - http://wklej.org/id/1222108/

#9

Wklej i kliknij Wykonaj skrypt:

:OTL
[2014-01-02 13:35:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Doctor Web
[2014-01-02 13:35:10 | 000,000,000 | ---D | C] -- C:\Users\dell\Doctor Web
[2013-12-26 22:00:16 | 000,000,340 | ---- | C] () -- C:\Windows\tasks\Driver Robot.job
[2013-12-26 22:03:24 | 000,000,074 | ---- | C] () -- C:\Windows\System32\4357_Update64D.BAT
[2013-12-26 22:03:24 | 000,000,074 | ---- | C] () -- C:\Windows\System32\4357_Update64C.BAT
[2013-12-26 22:03:24 | 000,000,072 | ---- | C] () -- C:\Windows\System32\4357_Update32D.BAT
[2013-12-26 22:03:24 | 000,000,072 | ---- | C] () -- C:\Windows\System32\4357_Update32C.BAT
[2013-12-26 22:03:24 | 000,000,072 | ---- | C] () -- C:\Windows\System32\4328_Update32D.BAT
[2013-12-26 22:03:24 | 000,000,072 | ---- | C] () -- C:\Windows\System32\4328_Update32C.BAT
[2013-12-26 22:03:24 | 000,000,072 | ---- | C] () -- C:\Windows\System32\4318_0312_Update32D.BAT
[2013-12-26 22:03:24 | 000,000,072 | ---- | C] () -- C:\Windows\System32\4318_0312_Update32C.BAT
[2013-12-26 22:03:24 | 000,000,072 | ---- | C] () -- C:\Windows\System32\4318_0311_Update32D.BAT
[2013-12-26 22:03:24 | 000,000,072 | ---- | C] () -- C:\Windows\System32\4318_0311_Update32C.BAT
[2013-12-26 22:03:24 | 000,000,072 | ---- | C] () -- C:\Windows\System32\4315_Update32D.BAT
[2013-12-26 22:03:24 | 000,000,072 | ---- | C] () -- C:\Windows\System32\4315_Update32C.BAT
[2013-12-26 22:03:24 | 000,000,072 | ---- | C] () -- C:\Windows\System32\4312_Update32D.BAT
[2013-12-26 22:03:24 | 000,000,072 | ---- | C] () -- C:\Windows\System32\4312_Update32C.BAT
[2013-12-26 22:03:24 | 000,000,072 | ---- | C] () -- C:\Windows\System32\4311_Update32D.BAT
[2013-12-26 22:03:24 | 000,000,072 | ---- | C] () -- C:\Windows\System32\4311_Update32C.BAT
[2013-12-26 22:03:24 | 000,000,063 | ---- | C] () -- C:\Windows\System32\4357_Remove64D.BAT
[2013-12-26 22:03:24 | 000,000,063 | ---- | C] () -- C:\Windows\System32\4357_Remove64C.BAT
[2013-12-26 22:03:24 | 000,000,061 | ---- | C] () -- C:\Windows\System32\4357_Remove32D.BAT
[2013-12-26 22:03:24 | 000,000,061 | ---- | C] () -- C:\Windows\System32\4357_Remove32C.BAT
[2013-12-26 22:03:24 | 000,000,061 | ---- | C] () -- C:\Windows\System32\4328_Remove32D.BAT
[2013-12-26 22:03:24 | 000,000,061 | ---- | C] () -- C:\Windows\System32\4328_Remove32C.BAT
[2013-12-26 22:03:24 | 000,000,061 | ---- | C] () -- C:\Windows\System32\4318_0312_Remove32D.BAT
[2013-12-26 22:03:24 | 000,000,061 | ---- | C] () -- C:\Windows\System32\4318_0312_Remove32C.BAT
[2013-12-26 22:03:24 | 000,000,061 | ---- | C] () -- C:\Windows\System32\4318_0311_Remove32D.BAT
[2013-12-26 22:03:24 | 000,000,061 | ---- | C] () -- C:\Windows\System32\4318_0311_Remove32C.BAT
[2013-12-26 22:03:24 | 000,000,061 | ---- | C] () -- C:\Windows\System32\4315_Remove32D.BAT
[2013-12-26 22:03:24 | 000,000,061 | ---- | C] () -- C:\Windows\System32\4315_Remove32C.BAT
[2013-12-26 22:03:24 | 000,000,061 | ---- | C] () -- C:\Windows\System32\4312_Remove32D.BAT
[2013-12-26 22:03:24 | 000,000,061 | ---- | C] () -- C:\Windows\System32\4312_Remove32C.BAT
[2013-12-26 22:03:24 | 000,000,061 | ---- | C] () -- C:\Windows\System32\4311_Remove32D.BAT
[2013-12-26 22:03:24 | 000,000,061 | ---- | C] () -- C:\Windows\System32\4311_Remove32C.BAT

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

http://windows.microsoft.com/pl-PL/windows-vista/Delete-a-restore-point

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj ESET Online Scanner

#10

Results of screen317’s Security Check version 0.99.78

Windows Vista Service Pack 2 x86 (UAC is enabled)

Internet Explorer 7 Out of date!

Antivirus/Firewall Check:

WMI entry may not exist for antivirus; attempting automatic update.

Anti-malware/Other Utilities Check:

CCleaner

Java 7 Update 45

Adobe Flash Player 11.9.900.170

Mozilla Firefox (26.0)

Process Check: objlist.exe by Laurent

Windows Defender MSASCui.exe

Windows Defender MSASCui.exe

System Health check

Total Fragmentation on Drive C: %

````````````````````End of Log``````````````````````

#11

Zainstaluj Internet Explorer 9