Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Infekcje plików wykonywalnych
23 Lut 2010, 18:36
Infekcje plików wykonywalnych
Popularne wirusy infekujące pliki o rozszerzeniach: .exe, .scr, .dll. Zostają zainfekowane pliki systemowe, przez co Windows zaczyna się „sypać”. Są to ciężkie infekcje, ich usuwanie jest bardzo trudne.
Win32:Sality (Win32.Sector.12 / Win32.Sality.NAJ / PE_SALITY.AS)
• Blokada Menedżera zadań i Edytora rejestru:
• Wyłączone programy zabezpieczające:
• Usługa Sality:
• Mogą także wystąpić problemy z uruchomieniem trybu awaryjnego.
• Przykłady z forum:
menedzer-zadan-nie-dziala-na-koncie-admin-t19619.html?hilit=sality
problem-z-mathcad-po-formatowaniu-t18622.html?hilit=sality
prosze-o-sprawdzenie-i-pomoc-t18557.html?hilit=sality
Win32:Virut (Win32.Virtob / Win32:Vitro / W32.Splendor / Win32.Cheburgen)
• Mogą (niekoniecznie) pojawić się takie wpisy:
• Przykłady z forum:
prosze-o-pomoc-log-z-hijackthisa-t20011.html?hilit=virut
problem-z-wirusem-win32-virut-prosze-o-pomoc-t18323.html?hilit=virut
Win32:Jeefo (Win32.Hidrag / Win32.HLLP.Jeefo.A / PE_JEEFO.A)
• Usługa wirusa:
• Plik svchost.exe w tej lokalizacji:
Win32:Parite (W32.Pinfi / W32.Pate / PE_PARITE)
• Wycinek raportu z Malwarebytes:
• Skan zainfekowanego pliku na virustotal:
Win32:Polip (Polipos.a, P2P-Worm.Win32.Polip.a, W32/Polip, W32/Polipos-A, PE_POLIP.A)
• Zainfekowane przez wirusa pliki:
Win32/Ramnit (HTML/Drop.Agent.AB, Win32.Nimnul, Win32.Rmnet)
Infekuje pliki .htm .html .exe i .dll
• W logu z OTL możemy zobaczyć taki wpis:
(nazwa folderu i pliku jest losowa).
• Wycinek raportu ze skanowania zainfekowanego systemu:
• Przykłady z forum:
html-drop-agent-ab-t22988.html
nie-moge-zaktualizowac-avasta-oraz-wejsc-na-strone-avasta-t22986.html
avira-ciagle-wywala-wirusy-i-nie-uruchamiaja-sie-pliki-exe-t22307.html#p120364
Win32:Tenga (inne nazwy wirusa - W32.Licum / W32.Gael / W32.Stanit)
Charakterystyczne występowanie plików na dysku:
Pojawiający się komunikat systemowy:
UWAGA!
Robak dostaje się do systemu poprzez niezamknięty port DCOM 139. Należy ten port koniecznie zamknąć!!. W tym celu należy posłużyć się WWDC otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88597
Win32/Mabezat
Infekcja tworzy charakterystyczne pliki:
Popularne wirusy infekujące pliki o rozszerzeniach: .exe, .scr, .dll. Zostają zainfekowane pliki systemowe, przez co Windows zaczyna się „sypać”. Są to ciężkie infekcje, ich usuwanie jest bardzo trudne.
Win32:Sality (Win32.Sector.12 / Win32.Sality.NAJ / PE_SALITY.AS)
• Blokada Menedżera zadań i Edytora rejestru:
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
• Wyłączone programy zabezpieczające:
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
• Usługa Sality:
S3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\qkeklq.sys --> c:\windows\system32\drivers\qkeklq.sys [?]
S3 dac970nt;dac970nt;\??\c:\windows\system32\drivers\klllim.sys --> c:\windows\system32\drivers\erknun.sys [?]
R3 dpti930;dpti930;\??\c:\windows\system32\drivers\mqhhkf.sys --> c:\windows\system32\drivers\mqhhkf.sys [?]
R3 asc3360pr;asc3360pr;\??\c:\windows\system32\drivers\gilpki.sys --> c:\windows\system32\drivers\gilpki.sys [?]
R3 WMI_MFC_TPSHOKER_80;WMI_MFC_TPSHOKER_80;\??\c:\windows\system32\drivers\pkignh.sys --> c:\windows\system32\drivers\pkignh.sys [?]
R3 aic32p;aic32p; \??\C:\WINDOWS\system32\drivers\llkeqf.sys []
• Mogą także wystąpić problemy z uruchomieniem trybu awaryjnego.
• Przykłady z forum:
menedzer-zadan-nie-dziala-na-koncie-admin-t19619.html?hilit=sality problem-z-mathcad-po-formatowaniu-t18622.html?hilit=sality prosze-o-sprawdzenie-i-pomoc-t18557.html?hilit=salityWin32:Virut (Win32.Virtob / Win32:Vitro / W32.Splendor / Win32.Cheburgen)
• Mogą (niekoniecznie) pojawić się takie wpisy:
O4 - HKLM..\Run: [reader_s] C:\WINDOWS\system32\reader_s.exe (Microsoft Corporation)
O4 - HKCU..\Run: [reader_s] C:\Documents and Settings\user\reader_s.exe (Microsoft Corporation)
O4 - HKLM..\Run: [services] C:\WINDOWS\services.exe ()
detected NTDLL code modification:
ZwOpenFile
• Przykłady z forum:
prosze-o-pomoc-log-z-hijackthisa-t20011.html?hilit=virut problem-z-wirusem-win32-virut-prosze-o-pomoc-t18323.html?hilit=virutWin32:Jeefo (Win32.Hidrag / Win32.HLLP.Jeefo.A / PE_JEEFO.A)
• Usługa wirusa:
SRV - File not found [Auto | Stopped] -- -- (PowerManager)
• Plik svchost.exe w tej lokalizacji:
(systemowy plik znajduje się w C:\WINDOWS\system32\svchost.exe)C:\WINDOWS\svchost.exe
Win32:Parite (W32.Pinfi / W32.Pate / PE_PARITE)
• Wycinek raportu z Malwarebytes:
Zainfekowane moduły pamięci:
C:\Documents and Settings\x\Ustawienia lokalne\temp\wha1.tmp (Worm.Parite)
C:\WINDOWS\temp\dja3.tmp (Worm.Parite)
Zainfekowane pliki:
C:\Documents and Settings\x\Ustawienia lokalne\temp\wha1.tmp (Worm.Parite)
C:\WINDOWS\temp\dja3.tmp (Worm.Parite)
C:\WINDOWS\temp\iia2.tmp (Worm.Parite)
• Skan zainfekowanego pliku na virustotal:
Win32:Polip (Polipos.a, P2P-Worm.Win32.Polip.a, W32/Polip, W32/Polipos-A, PE_POLIP.A)
• Zainfekowane przez wirusa pliki:
Win32/Ramnit (HTML/Drop.Agent.AB, Win32.Nimnul, Win32.Rmnet)
Infekuje pliki .htm .html .exe i .dll
• W logu z OTL możemy zobaczyć taki wpis:
O20 - HKLM Winlogon: UserInit - (C:\Program Files\hgmgdfhi\pmesniqy.exe) - C:\Program Files\hgmgdfhi\pmesniqy.exe File not found
(nazwa folderu i pliku jest losowa).
• Wycinek raportu ze skanowania zainfekowanego systemu:
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsdbgui.dll
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsdebuggeride.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsdebuggeride.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsdebuggeride.dll
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsprofilerui.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsprofilerui.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsprofilerui.dll
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\xpshims.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\xpshims.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\xpshims.dll
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\AlcWzrd.exe
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\AlcWzrd.exe
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\AlcWzrd.exe
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\Alcmtr.exe
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\Alcmtr.exe
• Przykłady z forum:
html-drop-agent-ab-t22988.html nie-moge-zaktualizowac-avasta-oraz-wejsc-na-strone-avasta-t22986.html avira-ciagle-wywala-wirusy-i-nie-uruchamiaja-sie-pliki-exe-t22307.html#p120364Win32:Tenga (inne nazwy wirusa - W32.Licum / W32.Gael / W32.Stanit)
Charakterystyczne występowanie plików na dysku:
cback.exe
dl.exe
gaelicum.exe
Pojawiający się komunikat systemowy:
16-bitowy podsystem MS-DOS
dl.exe
NTVDM CPU: napotkano niedozwoloną instrukcję.
cs:06da ip:fff6 op:ff ff 00 Wybierz przycisk "Zamknij". aby zakończyć działanie aplikacji.
UWAGA!
Robak dostaje się do systemu poprzez niezamknięty port DCOM 139. Należy ten port koniecznie zamknąć!!. W tym celu należy posłużyć się WWDC
otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88597Win32/Mabezat
Infekcja tworzy charakterystyczne pliki:
%SystemDrive%\Documents and Settings\tazebama.dl_
%SystemDrive%\Documents and Settings\hook.dl_
%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe
%SystemDrive%\Documents and Settings\tazebama.dll
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\tazebama.log
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\zPharaoh.dat
C:\zPharaoh.exe
C:\autorun.inf
Ostatnio edytowany przez Mirahz 21 Wrz 2021, 15:12, edytowano w sumie 2 razy
Re: Infekcje plików wykonywalnych
23 Lut 2010, 18:38
Usuwanie:
• Wyłączamy przywracanie systemu na wszystkich dyskach Instrukcja
• W zależności od infekcji używamy (kilka razy dotąd, dopóki nic nie znajdzie) odpowiedniej szczepionki:
- Sality http://support.kaspersky.com/downloads/utils/salitykiller.zip
- Virut http://www.symantec.com/security_response/writeup.jsp?docid=2009-022016-4444-99
- Jeefo http://www.sophos.com/support/disinfection/jeefoa.html
- Parite http://www.bitdefender.com/VIRUS-1000025-en--Win32.Parite.A-B-C.html
- Polip http://vil.nai.com/vil/stinger/polipstinger.asp
- Tenga http://download.avg.com/filedir/util/avg_rem_sup.dir/vcleaner.exe
- Mabezat http://download.avg.com/filedir/util/avg_rem_sup.dir/rmmabez/rmmabez.exe
• Następnie pobieramy Dr.Web CureIt (możemy także użyć Kaspersky Virus Removal Tool). Zapisujemy go z rozszerzeniem .com i pod losową nazwą np. 2423.com
• Wykonujemy pełne skanowania kilka razy dotąd, dopóki skaner nie będzie nic znajdował. Leczymy co się da, resztę usuwamy.
• Po dezynfekcji podajemy odpowiednie logi na forum.
W razie problemów z pobraniem któregoś z narzędzi (infekcja może to uniemożliwiać) proszę pisać na forum, podamy alternatywny link.
Inną bardzo dobrą opcją jest użycie bootowalnego skanera Dr.Web LiveCD lub ewentualnie Kaspersky Rescue Disk , gdyż dezynfekcja z zewnątrz daje lepsze rezultaty. Skaner pobieramy i wypalamy na płycie na innym nie zainfekowanym komputerze.
Jeśli po udanym leczeniu wystąpią problemy z działaniem systemu należy wykonać Instalację Nakładkową.
Uwaga
Ważne jest, aby używać tylko wymienionych tutaj skanerów, gdyż w przeciwieństwie do innych potrafią one leczyć zainfekowane pliki.
Jeżeli żadna z metod nie daje rezultatów lub nie chcemy tracić czasu i zdecydujemy się na format, należy pamiętać o kilku bardzo ważnych rzeczach:
• Sformatowane muszą zostać wszystkie partycje i dyski bez wyjątku
• Dokumenty, zdjęcia, muzykę możemy przegrać na płyty CD/DVD, za to nie kopiować żadnych plików .exe, .scr, .dll (programy, instalki itp). Także archiwa zawierające te pliki mogą być zarażone.
• Przed skopiowaniem dokumentów na świeży system należy przeskanować je programem antywirusowym (np. jednym z podanych wcześniej skanerów), gdyż ostatnio coraz częściej się słyszy, że one także mogą ulec zainfekowaniu (Virut).
Zakaz kopiowania bez zgody autora.
• Wyłączamy przywracanie systemu na wszystkich dyskach
Instrukcja• W zależności od infekcji używamy (kilka razy dotąd, dopóki nic nie znajdzie) odpowiedniej szczepionki:
- Sality
http://support.kaspersky.com/downloads/utils/salitykiller.zip- Virut
http://www.symantec.com/security_response/writeup.jsp?docid=2009-022016-4444-99- Jeefo
http://www.sophos.com/support/disinfection/jeefoa.html- Parite
http://www.bitdefender.com/VIRUS-1000025-en--Win32.Parite.A-B-C.html- Polip
http://vil.nai.com/vil/stinger/polipstinger.asp- Tenga
http://download.avg.com/filedir/util/avg_rem_sup.dir/vcleaner.exe- Mabezat
http://download.avg.com/filedir/util/avg_rem_sup.dir/rmmabez/rmmabez.exe• Następnie pobieramy Dr.Web CureIt (możemy także użyć Kaspersky Virus Removal Tool). Zapisujemy go z rozszerzeniem .com i pod losową nazwą np. 2423.com
• Wykonujemy pełne skanowania kilka razy dotąd, dopóki skaner nie będzie nic znajdował. Leczymy co się da, resztę usuwamy.
• Po dezynfekcji podajemy odpowiednie logi na forum.
W razie problemów z pobraniem któregoś z narzędzi (infekcja może to uniemożliwiać) proszę pisać na forum, podamy alternatywny link.
Inną bardzo dobrą opcją jest użycie bootowalnego skanera Dr.Web LiveCD lub ewentualnie Kaspersky Rescue Disk , gdyż dezynfekcja z zewnątrz daje lepsze rezultaty. Skaner pobieramy i wypalamy na płycie na innym nie zainfekowanym komputerze.
Jeśli po udanym leczeniu wystąpią problemy z działaniem systemu należy wykonać Instalację Nakładkową.
Uwaga
Ważne jest, aby używać tylko wymienionych tutaj skanerów, gdyż w przeciwieństwie do innych potrafią one leczyć zainfekowane pliki.
Jeżeli żadna z metod nie daje rezultatów lub nie chcemy tracić czasu i zdecydujemy się na format, należy pamiętać o kilku bardzo ważnych rzeczach:
• Sformatowane muszą zostać wszystkie partycje i dyski bez wyjątku
• Dokumenty, zdjęcia, muzykę możemy przegrać na płyty CD/DVD, za to nie kopiować żadnych plików .exe, .scr, .dll (programy, instalki itp). Także archiwa zawierające te pliki mogą być zarażone.
• Przed skopiowaniem dokumentów na świeży system należy przeskanować je programem antywirusowym (np. jednym z podanych wcześniej skanerów), gdyż ostatnio coraz częściej się słyszy, że one także mogą ulec zainfekowaniu (Virut).
Zakaz kopiowania bez zgody autora.
Ostatnio edytowany przez mateo8898 20 Kwi 2013, 20:25, edytowano w sumie 3 razy