TA STRONA UŻYWA COOKIE. Dowiedz się więcej o celu ich używania i zmianie ustawień cookie w przeglądarce. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki.
Od dnia 25.05.2018 r. na terenie Unii Europejskiej wchodzi w życie Rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Prosimy o zapoznanie się z polityką prywatności oraz regulaminem serwisu  [X]

Infekcje plików wykonywalnych

Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.

Infekcje plików wykonywalnych

Postprzez mateo8898 » 23 Lut 2010, 18:36

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2) Gecko/20100115 Firefox/3.6


Infekcje plików wykonywalnych

Popularne wirusy infekujące pliki o rozszerzeniach: .exe, .scr, .dll. Zostają zainfekowane pliki systemowe, przez co Windows zaczyna się „sypać”. Są to ciężkie infekcje, ich usuwanie jest bardzo trudne.

Win32:Sality (Win32.Sector.12 / Win32.Sality.NAJ / PE_SALITY.AS)

• Blokada Menedżera zadań i Edytora rejestru:

Image Image
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1


• Wyłączone programy zabezpieczające:
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001


• Usługa Sality:
S3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\qkeklq.sys --> c:\windows\system32\drivers\qkeklq.sys [?]

S3 dac970nt;dac970nt;\??\c:\windows\system32\drivers\klllim.sys --> c:\windows\system32\drivers\erknun.sys [?]

R3 dpti930;dpti930;\??\c:\windows\system32\drivers\mqhhkf.sys --> c:\windows\system32\drivers\mqhhkf.sys [?]

R3 asc3360pr;asc3360pr;\??\c:\windows\system32\drivers\gilpki.sys --> c:\windows\system32\drivers\gilpki.sys [?]

R3 WMI_MFC_TPSHOKER_80;WMI_MFC_TPSHOKER_80;\??\c:\windows\system32\drivers\pkignh.sys --> c:\windows\system32\drivers\pkignh.sys [?]

R3 aic32p;aic32p; \??\C:\WINDOWS\system32\drivers\llkeqf.sys []


• Mogą także wystąpić problemy z uruchomieniem trybu awaryjnego.

• Przykłady z forum:
-> menedzer-zadan-nie-dziala-na-koncie-admin-t19619.html?hilit=sality
-> problem-z-mathcad-po-formatowaniu-t18622.html?hilit=sality
-> prosze-o-sprawdzenie-i-pomoc-t18557.html?hilit=sality


Win32:Virut (Win32.Virtob / Win32:Vitro / W32.Splendor / Win32.Cheburgen)

• Mogą (niekoniecznie) pojawić się takie wpisy:
O4 - HKLM..\Run: [reader_s] C:\WINDOWS\system32\reader_s.exe (Microsoft Corporation)
O4 - HKCU..\Run: [reader_s] C:\Documents and Settings\user\reader_s.exe (Microsoft Corporation)
O4 - HKLM..\Run: [services] C:\WINDOWS\services.exe ()


detected NTDLL code modification:
ZwOpenFile


• Przykłady z forum:
-> prosze-o-pomoc-log-z-hijackthisa-t20011.html?hilit=virut
-> problem-z-wirusem-win32-virut-prosze-o-pomoc-t18323.html?hilit=virut


Win32:Jeefo (Win32.Hidrag / Win32.HLLP.Jeefo.A / PE_JEEFO.A)

• Usługa wirusa:
SRV - File not found [Auto | Stopped] -- -- (PowerManager)


• Plik svchost.exe w tej lokalizacji:
C:\WINDOWS\svchost.exe
(systemowy plik znajduje się w C:\WINDOWS\system32\svchost.exe)


Win32:Parite (W32.Pinfi / W32.Pate / PE_PARITE)

• Wycinek raportu z Malwarebytes:
Zainfekowane moduły pamięci:
C:\Documents and Settings\x\Ustawienia lokalne\temp\wha1.tmp (Worm.Parite) -> No action taken.
C:\WINDOWS\temp\dja3.tmp (Worm.Parite) -> No action taken.

Zainfekowane pliki:
C:\Documents and Settings\x\Ustawienia lokalne\temp\wha1.tmp (Worm.Parite) -> No action taken.
C:\WINDOWS\temp\dja3.tmp (Worm.Parite) -> No action taken.
C:\WINDOWS\temp\iia2.tmp (Worm.Parite) -> No action taken.


• Skan zainfekowanego pliku na virustotal:
Image


Win32:Polip (Polipos.a, P2P-Worm.Win32.Polip.a, W32/Polip, W32/Polipos-A, PE_POLIP.A)

• Zainfekowane przez wirusa pliki:
Image


Win32/Ramnit (HTML/Drop.Agent.AB, Win32.Nimnul, Win32.Rmnet)

Infekuje pliki .htm .html .exe i .dll

• W logu z OTL możemy zobaczyć taki wpis:
O20 - HKLM Winlogon: UserInit - (C:\Program Files\hgmgdfhi\pmesniqy.exe) - C:\Program Files\hgmgdfhi\pmesniqy.exe File not found

(nazwa folderu i pliku jest losowa).

• Wycinek raportu ze skanowania zainfekowanego systemu:
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsdbgui.dll
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsdebuggeride.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsdebuggeride.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsdebuggeride.dll
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsprofilerui.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsprofilerui.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\jsprofilerui.dll
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\xpshims.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\xpshims.dll
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Internet Explorer\xpshims.dll
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\AlcWzrd.exe
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\AlcWzrd.exe
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\AlcWzrd.exe
Zagrożenie: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\Alcmtr.exe
Wyleczony: Virus.Win32.Nimnul.a C:\Program Files\Realtek\Audio\InstallShield\Alcmtr.exe

• Przykłady z forum:
-> html-drop-agent-ab-t22988.html
-> nie-moge-zaktualizowac-avasta-oraz-wejsc-na-strone-avasta-t22986.html
-> avira-ciagle-wywala-wirusy-i-nie-uruchamiaja-sie-pliki-exe-t22307.html#p120364


Win32:Tenga (inne nazwy wirusa - W32.Licum / W32.Gael / W32.Stanit)

Charakterystyczne występowanie plików na dysku:

cback.exe
dl.exe
gaelicum.exe



Pojawiający się komunikat systemowy:

16-bitowy podsystem MS-DOS
dl.exe
NTVDM CPU: napotkano niedozwoloną instrukcję.
cs:06da ip:fff6 op:ff ff 00 Wybierz przycisk "Zamknij". aby zakończyć działanie aplikacji.


UWAGA!
Robak dostaje się do systemu poprzez niezamknięty port DCOM 139. Należy ten port koniecznie zamknąć!!. W tym celu należy posłużyć się WWDC -> otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88597


Win32/Mabezat

Infekcja tworzy charakterystyczne pliki:
%SystemDrive%\Documents and Settings\tazebama.dl_
%SystemDrive%\Documents and Settings\hook.dl_
%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe
%SystemDrive%\Documents and Settings\tazebama.dll
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\tazebama.log
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\zPharaoh.dat
C:\zPharaoh.exe
C:\autorun.inf
Ostatnio edytowany przez mateo8898, 22 Lip 2012, 17:20, edytowano w sumie 1 raz
Powód: Aktualizacja
Image
Image
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15378
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966

Re: Infekcje plików wykonywalnych

Postprzez mateo8898 » 23 Lut 2010, 18:38

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2) Gecko/20100115 Firefox/3.6


Usuwanie:

• Wyłączamy przywracanie systemu na wszystkich dyskach -> Instrukcja
• W zależności od infekcji używamy (kilka razy dotąd, dopóki nic nie znajdzie) odpowiedniej szczepionki:
- Sality -> http://support.kaspersky.com/downloads/ ... killer.zip
- Virut -> http://www.symantec.com/security_respon ... 16-4444-99
- Jeefo -> http://www.sophos.com/support/disinfection/jeefoa.html
- Parite -> http://www.bitdefender.com/VIRUS-100002 ... A-B-C.html
- Polip -> http://vil.nai.com/vil/stinger/polipstinger.asp
- Tenga -> http://download.avg.com/filedir/util/av ... leaner.exe
- Mabezat -> http://download.avg.com/filedir/util/av ... mmabez.exe

• Następnie pobieramy Dr.Web CureIt (możemy także użyć Kaspersky Virus Removal Tool). Zapisujemy go z rozszerzeniem .com i pod losową nazwą np. 2423.com
• Wykonujemy pełne skanowania kilka razy dotąd, dopóki skaner nie będzie nic znajdował. Leczymy co się da, resztę usuwamy.
• Po dezynfekcji podajemy odpowiednie logi na forum.


W razie problemów z pobraniem któregoś z narzędzi (infekcja może to uniemożliwiać) proszę pisać na forum, podamy alternatywny link.

Inną bardzo dobrą opcją jest użycie bootowalnego skanera Dr.Web LiveCD lub ewentualnie Kaspersky Rescue Disk , gdyż dezynfekcja z zewnątrz daje lepsze rezultaty. Skaner pobieramy i wypalamy na płycie na innym nie zainfekowanym komputerze.

Jeśli po udanym leczeniu wystąpią problemy z działaniem systemu należy wykonać Instalację Nakładkową.

Uwaga :!:
Ważne jest, aby używać tylko wymienionych tutaj skanerów, gdyż w przeciwieństwie do innych potrafią one leczyć zainfekowane pliki.

Jeżeli żadna z metod nie daje rezultatów lub nie chcemy tracić czasu i zdecydujemy się na format, należy pamiętać o kilku bardzo ważnych rzeczach:
• Sformatowane muszą zostać wszystkie partycje i dyski bez wyjątku
• Dokumenty, zdjęcia, muzykę możemy przegrać na płyty CD/DVD, za to nie kopiować żadnych plików .exe, .scr, .dll (programy, instalki itp). Także archiwa zawierające te pliki mogą być zarażone.
• Przed skopiowaniem dokumentów na świeży system należy przeskanować je programem antywirusowym (np. jednym z podanych wcześniej skanerów), gdyż ostatnio coraz częściej się słyszy, że one także mogą ulec zainfekowaniu (Virut).

Zakaz kopiowania bez zgody autora.
Ostatnio edytowany przez mateo8898 20 Kwi 2013, 20:25, edytowano w sumie 3 razy
Powód: Aktualizacja
Image
Image
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15378
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966


Powróć do Bezpieczeństwo

Kto jest na forum

Zarejestrowani użytkownicy: Google [Bot]