Złapałem wirus z pendrive'a

dawor123 · 18 Listopad 2009 00:41

W zeszłym tygodniu po podpięciu pendrive’a cudzego Norton zakomunikował, że wykrył na nim wirusa w jakimś pliku i ten plik zablokował. Myślałem, że wszystko jest ok, ale:

od tego czasu komputer się zamula często
w windowsie nie mogę wyświetlić ukrytych plików i folderów
przeglądając w konsoli ukryte pliki na dysku c: znalazłem m. in.: 1a1dndah.exe, 6ruaqx.exe, 9b9w3.exe itd…

Log HJT:

http://wklej.org/id/208788/

Log OTL:

http://wklej.org/id/208793/

i utworzył się jeszcze plik Extras.txt:

http://wklej.org/id/208794/

(w czasie gdy pracował OTL Norton wyskoczył z dwoma komunikatami o wykrytym wirusie i zablokowaniu plików)

GMER - wiesza się chwilę po uruchomieniu

Log System Repair Engineer:

http://wklej.org/id/208798/

Jak się pozbyć tego ustrojstwa?? Z góry dziękuję za pomoc.

Pozdrawiam

Konrad

jessica · 18 Listopad 2009 02:17

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL O4 - HKU.DEFAULT…\Run: [userinit] C:\WINDOWS\System32\ntos.exe File not found O4 - HKU\S-1-5-18…\Run: [userinit] C:\WINDOWS\System32\ntos.exe File not found O4 - HKU\S-1-5-21-448539723-1979792683-682003330-1003…\Run: [updateMgr] E:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe File not found :Files C:\autorun.inf E:\autorun.inf C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe C:\RECYCLER E:\RECYCLER C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe C:\9g86.exe C:\opdux.exe E:\9g86.exe E:\opdux.exe C:\6ruaqx.exe C:\pbudsara.exe C:\vk0w.exe C:\l61yyp.exe C:\v1cbvsmq.exe C:\1a1dndah.exe C:\srgo.exe C:\mwfubaob.exe C:\9b9w3.exe C:\a2g21.exe C:\uqgvf.exe C:\9u.exe E:\6ruaqx.exe E:\pbudsara.exe E:\vk0w.exe E:\l61yyp.exe E:\v1cbvsmq.exe E:\1a1dndah.exe E:\srgo.exe E:\mwfubaob.exe E:\9b9w3.exe E:\a2g21.exe E:\uqgvf.exe E:\9u.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

jessi

dawor123 · 18 Listopad 2009 07:21

Log z czyszczenia:

http://wklej.org/id/208922/

Log OTL po czyszczeniu:

http://wklej.org/id/208932/

Tak jak na początku w czasie skanowania OTL’em Norton podniósł alarm że znalazł “Trojan.Pandex” w c:\windows\system32\ws2_32.dll:fork2:$DATA

Chciałem uruchomić GMER’a też, ale wciąż się wiesza.

Widać już ukryte pliki i foldery.

Pzdr

Konrad

jessica · 18 Listopad 2009 11:03

Log jest czysty.

Tego w logu OTL nie widać. To podczepione dwa strumienie pod plik Systemowy. Ta infekcja najczęściej modyfikuje także inny plik Systemowy: C:\WINDOWS\system32\ winlogon.exe

Daj log z ComboFix

Ponadto wkleić do Notatnika:

For /F "TOKENS=*" %%g IN ('dir /s/a-d/b %windir%\winlogon.exe'

) Do @echo "%%~g" %%~zg %%~tg >>lista.txt 2>nul

start notepad lista.txt & exit

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako LIST.BAT

Uruchom zrobiony plik BAT. Na Pulpicie pojawi się plik lista.txt = pokaż jego zawartość.

jessi

dawor123 · 18 Listopad 2009 14:05

Zgodnie z tym co we wskazanym wątku:

Najpierw RSIT:

info.txt: http://wklej.org/id/209180/

log.txt: http://wklej.org/id/209184/

Potem ComboFix: http://wklej.org/id/209186/

Na początku skanowania CF ściągnął Konsolę odzyskiwania. W czasie skanowania wcinał mu się Norton z komunikatem, że wykrył podejrzany skrypt (np. c:\3278R22FWJFW\av.vbs), ale przypuszczałem, że to jakiś składnik CFix’a i autoryzowałem skrypty kolejne. Wyskoczył też komunikat, że wykrył obecność infekcji typu rootkit i rebootował komputer. Po reboocie zresztą Norton też jeszcze się próbował blokować skrypty CFix’a, ale wszystkim pozwoliłem działać. Mam nadzieję, że nie miało to wpływu na wynik skanowania?

Plik Lista.txt: http://wklej.org/id/209192/

Z ciekawości chciałem jeszcze sprawdzić czy GMER działa, ale wiesza się zaraz po starcie cały czas.

jessica · 18 Listopad 2009 14:24

“winlogon.exe” ma taki sam rozmiar w obu lokalizacjach, więc chyba nie jest zarażony.

Możesz go jeszcze sprawdzić na --> JOTTI/

albo na VIRUSTOTAL.

Oczywiście chodzi o ten z folderu “system32”.

Wklej do Notatnika :

File::

c:\docume~1\Dawor\USTAWI~1\Temp\idrmkl.sys


ADS::

c:\windows\system32\ws2_32.dll:fork2


Driver::

idrmkl

SSPORT

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Daj raport z mbr.exe http://www.searchengines.pl/index.php?show…mp;#entry470953 (scan trwa tylko 2 sekundy).

jessi

dawor123 · 18 Listopad 2009 15:14

“winlogon.exe” z system32 sprawdziłem na Jotti - czysty

Log Cfix’a: http://wklej.org/id/209283/

W czasie działania CFix’a znów wcinał się Norton mimo, że ustawiłem go na Disabled.

Raport MBR.exe: http://wklej.org/id/209287/

PS. Czy pozostałości z działania OTL, ComboFix’a itp można skasować kiedy problem będzie rozwiązany? Chodzi mi o powstałe katalogi C:\Qoobox, E:_OTL, ewentulanie inne jak przyuważę

Konrad

jessica · 18 Listopad 2009 15:33

Wklej do Notatnika :

File::

c:\windows\system32\ws2_32.dll:fork2

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi

dawor123 · 18 Listopad 2009 16:08

Log CombatFix’a: http://wklej.org/id/209345/

jessica · 18 Listopad 2009 16:45

Ależ to uparte - nie da się usunąć.

Wklej do Notatnika :

File::

c:\windows\system32\ws2_32.dll:fork2

ADS::

c:\windows\system32\ws2_32.dll:fork2

FCopy::

C:\WINDOWS\system32\dllcache\winlogon.exe | c:\windows\system32\winlogon.exe

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Użyj (w Trybie Awaryjnym) –SDFix. (niżej na stronie linku).

Pokaż Report.txt znajdujący się w folderze SDFix.

jessi

dawor123 · 18 Listopad 2009 22:01

Log ComboFix: http://wklej.org/id/209683/

Log SDFix’a: http://wklej.org/id/209684/

Jak wygląda sytuacja teraz?

jessica · 18 Listopad 2009 22:33

Miałam nadzieję, że SDFix usunie ten strumień. A tu nic z tego. Ale za to odkrył, że także do zapasowego pliku jest podczepiony taki sam strumień!

Nic próbujemy dalej z ComboFixem:

Wklej do Notatnika :

File::

c:\windows\system32\ws2_32.dll:fork2

C:\WINDOWS\erdnt\cache\ws2_32.dll:fork2


ADS::

c:\windows\system32\ws2_32.dll:fork2

C:\WINDOWS\erdnt\cache\ws2_32.dll:fork2

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi

dawor123 · 18 Listopad 2009 23:14

ComboFix: http://wklej.org/id/209736/

W czasie skanowania ComboFix za każdym razem daje komunikat, że wykrył rootkit i musi uruchomić ponownie komputer - nie wiem czy to ważne, bo nie pisałem o tym wcześniej.

Wyłączyć przywracanie systemu może? ComboFix w trybie awaryjnym…? Ofiary całopalne…? Upuszczanie krwi i stawianie baniek…?

jessica · 19 Listopad 2009 08:17

Jak widać, to się wcale nie da usunąć.

A więc jeszcze jakiś plik Systemowy jest zarażony i to on teraz dba o to, by nie dało się tego usunąć.

Ja stawiam na:

bo są świeżo modyfikowane.

Na wszelki wypadek przydałoby się je wymienić.

Na razie spróbuj ComboFix w Trybie Awaryjnym.

Ja spróbuję się skontaktować z @ciemnowidz - może on jeszcze coś wymyśli, bo dla mnie już brakuje pomysłów. Widziałam już wiele usuwań tego strumienia, i nigdy nie było az takich problemów, jak u Ciebie.

jessi

dawor123 · 19 Listopad 2009 12:33

Po pierwsze dzięki jessica za dotychczasową pomoc - ogromny szacun.

Po drugie moje wyniki z potyczek ostatnich:

Oba pliki atapi.sys wrzuciłem do http://virusscan.jotti.org - nic nie wykryto. Czy mimo to podmienić?

w międzyczasie uruchomiłem:

ComboFix wyłączając wcześniej przywracanie systemu: http://wklej.to/3Epy

SDFix w trybie awaryjnym: http://wklej.to/ypxh

ComboFix w trybie awaryjnym: http://wklej.to/rLv5

(po tym jak CF wykrywał rootkit’a i rebootował komputer chciałem żeby dokończył pracę też w trybie awaryjnym więc dałem F8->tryb awaryjny. Po załadowaniu się systemu CF nie załączył się sam, a włączony ręcznie chciał od początku zaczynać pracę. Ponownie uruchomiłem komputer pozwalając mu odpalić się normalnie i wtedy CF zaskoczył i dokończył pracę)

Dla ComboFixa używałem cały czas tego skryptu, który podałaś jako ostatni.

Czy jakieś wyniki są?

PS - będę jeszcze eksperymentował trochę - który wpis w logu CF mam obserwować, żeby poznać czy udało się wyrwać chwasta?

Pzdr

Konrad

PS. Logi na wklej.to nie na wklej.org, bo ten pierwszy się nie wgrywa chwilowo

jessica · 19 Listopad 2009 13:12

Jak widać - efekt żaden.

Spróbuj uruchomić GMER w trybie Awaryjnym. Jeśli będzie działał, to spróbujemy usuwać przy jego pomocy.

jessi

ciemnowidz · 19 Listopad 2009 13:16

W tym wypadku to był błąd.

ComboFix sam powinien skasować strumienie w folderach systemowych. Niektóre strumienie mogą niszczyć pliki (nie wiem czy tutaj to się stało, ale raczej możliwe jest by szkodliwy strumień mógł być zregenerowany).

Na wszelki wypadek przygotuj płytę z Windows.

Mam nadzieję, że masz pendrive lub coś w tym stylu, jeśli tak to podłącz go.

Plik c:\windows\system32\ws2_32.dll spakuj jakimś programem do archiwizacji i prześlij na www.speedyshare.com, podaj link do downloadu.

Skopiuj plik c:\windows\system32\ws2_32.dll na pendrive (pendrivy zazwyczaj mają system plików FAT więc plik powinien skopiować się bez podpiętego strumienia), podczas kopiowania wyskoczy monit, że pewne informacje mogą zostać utracone, akceptuj, potem ten plik z pendrive’a przesyłasz na speedyshare a tutaj dajesz link do downloadu.

Pobierz programik streams, rozpakuj i umieść plik streams.exe bezpośrednio w c:\windows\system32.

Następnie wklej w notatnik

Wklej zawartość logu który wyskoczy.

Wklej w notatnik

Zapisz jako CFScript.txt. Ten plik przeciągasz na ikonę ComboFix’a. Rozpocznie się usuwanie, wklej powstały log.

Jeśli system nie będzie chciał startować wejdź do konsoli odzyskiwania KLIK i wpisz komendę

lub

Doklej log z Reglooks i SysProt AntiRootkit

Zakładka Log , zaznaczasz wszystko do skanu => Create Log , w oknie które się pojawi zaznacz Scan root drive only => OK

dawor123 · 19 Listopad 2009 23:13

@jessica: GMER w trybie awaryjnym działa dobrych parę sekund dłużej niż w normalnym, ale też się wiesza ostatecznie

http://www.speedyshare.com/files/19379700/ws2_32.rar - link do spakowanego ws2_32 dll

http://www.speedyshare.com/files/19379760/ws2_32.dll - link do ws2_32 z pendrive’a (w czasie kopiowanie wyświetliło się info o traceniu danych fork2…)

http://wklej.org/id/210541/ - log z Streams.exe (zrobiłem ręcznie wklepując w cmd bo jakoś nie chciał zadziałać z notatnika)

ComboFix zachowywał się tak: skanował - znalazł rootkit - kazał kliknąć [ok] - reboot komputera - skanował dalej, a inne programy nie ładowały się - reboot komputera - w czasie jak “przygotowywał raport” włączały się inne programy tak jak normalnie ładują się przy starcie komputera, i w trakcie tego następował zwis systemu i reboot - po załadowaniu wyświetlał info “Windows odzyskał sprawność po poważnym błędzie”. Loga nie ma. Próbowałem 2 razy.

http://wklej.org/id/210588/ - log z Reglooks

http://wklej.org/id/210592/ - log z SysProt

puffff…

ciemnowidz · 20 Listopad 2009 06:30

Zapomniałem, że po przesłaniu plików na serwer również obetnie im strumienie. Masz więc trzy kopie czystych plików (na pendrivie, 2 na speedyshare). Jeden z tych czystych plików umieść bezpośrednio na C:.

STREAMS

W Start => Uruchom => cmd wpisz

Pokaż log który powstanie. Następnie powtarzasz poprzednią operację ze streams (z mojego poprzedniego posta) i również dajesz log.

ComboFix

Wklej do notatnika

Robisz z tego CFScript.txt i przeciągasz na ikonę ComboFix’a. Wklejasz log.

dawor123 · 20 Listopad 2009 10:50

Plik skopiowałem, z pendrive’a.

Log1 Streams (streams -s -d c:\windows): http://wklej.org/id/210855/

Log2 Streams (streams.exe -s c:) : http://wklej.org/id/210856/

ComboFix wywołany CFScript’em zawiesił się jak poprzednio na koniec przed przygotowaniem log’a. Uruchomiłem “czystego” ComboFixa. Log: http://wklej.org/id/210859/

Na koniec jeszcze raz włączyłem Streams (streams.exe -s c:): http://wklej.org/id/210863/

Chyba rzeczywiście udało się pozbyć tego ustrojstwa? DZIĘKI WIELKIE!! :brawo: jesteście genialni!

Czy utworzone w międzyczasie foldery takie jak: c:\Qoobox pousuwać?

c:\windows\erdnt - to windowsowy katalog, czy ComboFixowy? Usunąć?