Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

Infekcja Malware.Packer.Gen i Trojan.Agent/Gen-Packed[LordPE]


  • Zamknięty Temat jest zamknięty
5 odpowiedzi w tym temacie

#1
ubunoir

ubunoir

    Użytkownik

  • Użytkownicy
  • Pip
  • 3 postów
Witam,

To świństwo przybyło prawdopodobnie na obcym pendrivie (nie mam już do niego dostępu). Objawy:

- Brak dostępu do internetu we wszystkich aplikacjach poza Internet Explorerem. Wygląda to, jakby był blokowany cały ruch na porcie 80.

- Zablokowany Task Manager oraz Regedit. Można doraźnie naprawić tę sytuację w rejestrze (DisableTaskMgr, DisableRegistryTools), ale po krótkim czasie następuje ponowne nadpisanie wspomnianych kluczy.

- Na wszystkich dyskach (lokalnych i zewnętrznych USB) instalowane są pliki autorun.inf wraz z exe/pif o zmiennych nazwach (np. pdawk.exe, cntph.exe). Autoruna takiego nie da się usunąć, dopóki nie zkilluje się procesu, który trzyma do nich uchwyt - a jest to za każdym razem inny proces, ale spośród procesów, które zazwyczaj są normalnymi, zdrowymi programami (nie udało mi się namierzyć jakichś nowych podejrzanych nazw procesów). Po usunięciu autoruna za chwilę jest tworzony nowy.

- Nie działa tryb awaryjny przez F8: podczas ładowania wyskakuje blue screen i komp się resetuje.

- Nie działa Norton Internet Security.

Skanowałem system programami Malwarebyte's Anti-malware i SuperAntiSpyware (ten drugi już przestał działać). Malwarebyte znalazł wirusy: Malware.Packer.Gen i Trojan.Agent, a SAS -
Trojan.Agent/Gen-Packed i Trojan.VXGame-Variant/D. Niestety po usunięciu zainfekowanych plików i reboocie, sytuacja ani na jotę się nie poprawia.

Załączam zestaw logów ze wspomnianych antywirusów oraz z USBFix-a, OTL-a i GMER-a.

Załączone pliki



#2
picasso

picasso

    Administrator

  • Administratorzy
  • 27902 postów
Co dopiero w temacie niżej pisałam KLIK. Wszystko wskazuje na to, że i Ty masz niestety infekcję wykonywalnych wszystkich dysków Sality. Poświadcza to: rootkit-usługa rhklm.sys (amsint32) widzialna w GMER i OTL, charakterystyczne nawroty blokad rejestru i menedżera, skasowany tryb awaryjny i pady programów.

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\rhklm.sys -- (amsint32)


Prócz Sality błąkają się i inne elementy, ale Sality to priorytet, ponieważ nie jest nawet wiadome jak bardzo masz zniszczony system. Na pewno wszystkie programy, które działały a przestają, są już zainfekowane wirusem i tu już można tylko podjąć próbę leczenia plików, a przy jej zawodności wyrzucenie programów z dysku. Podaję na teraz dwie metody ratunkowe:

1. (Mniej skuteczne) leczenie spod działającego systemu: SalityKiller (on także znosi polisy rejestru i rekonstruuje tryb awaryjny).
2. (Efektywniejsze) leczenie z poziomu startowej płyty, do wyboru kilka i może być to sama stajnia tzn. Kaspersky Rescue Disk (KLIK).

Rozpocznij od prostszego wariantu, a po użyciu Killera wykonaj nowy zestaw logów do oceny.....



.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#3
ubunoir

ubunoir

    Użytkownik

  • Użytkownicy
  • Pip
  • 3 postów
Faktycznie.. SalityKiller miał dużo do roboty! Ale niby wszystko udało mu się wyleczyć i po reboocie program odpalony z opcją monitoringu ("SalityKiller.exe -m") nie pokazuje już żadnych zagrożeń. Z tym, że część programów (antywirusy np., total commander) nadaje się tylko do wyrzucenia. Odpaliłem także Disable_autorun.reg oraz SafeBootWinXP.reg z pakietu Sality_RegKeys, dzięki czemu mam już dostęp do trybu awaryjnego. Niestety dalej nie mam dostępu do internetu, poza trybem awaryjnym, w którym nie ma tego problemu.

Oto zestaw nowych logów z OTL i Gmera. Ten drugi tym razem wykrył rootkita w dwóch plikach: savedump.exe i symantecowym AUPDATE.EXE.

Załączone pliki

  • Załączony plik  OTL2.Txt   109.36 KB   80 Ilość pobrań
  • Załączony plik  gmer2.txt   5.05 KB   81 Ilość pobrań


#4
picasso

picasso

    Administrator

  • Administratorzy
  • 27902 postów
Mam wątpliwości, czy Sality jest zabity, bo nadal jest tu jego usługa (choć w GMER jej nie widzę już):

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\rhklm.sys -- (amsint32)


Zapomniałeś podać aktualny log z USBFix, toteż nie podejmuję teraz czyszczenia USB, bo nie wiem jak się zmieniła sytuacja. Natomiast na dysku C widzę tych delikwentów:

[2010-08-27 23:24:37 | 000,033,508 | RHS- | M] () -- C:\ooftvp.exe
[2010-08-27 23:19:31 | 000,033,508 | RHS- | M] () -- C:\hvybm.pif



1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\rhklm.sys -- (amsint32)
[2010-08-27 23:24:37 | 000,033,508 | RHS- | M] () -- C:\ooftvp.exe
[2010-08-27 23:19:31 | 000,033,508 | RHS- | M] () -- C:\hvybm.pif

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-

:Commands
[emptyflash]
[emptytemp]


Rozpocznij proces usuwania przez Wykonaj skrypt. Po restarcie systemu otrzymasz z tego log.

2. Odmontuj Symantec, pomocą służy Norton Removal Tool. Następnie wszystkie niedziałające programy. Przeprowadź również demontaż wszystkich Java za pomocą JavaRa, potem nadpiszesz najnowszą wersją.

3. Po tych wszystkich zadaniach wygeneruj nowy komplet logów, włączając USBFix z opcji Listing przy podpiętym urządzeniu USB. Dodaj log z usuwania powstały w punkcie 1.




.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#5
ubunoir

ubunoir

    Użytkownik

  • Użytkownicy
  • Pip
  • 3 postów
Jest coraz lepiej. Po wywaleniu Nortona wrócił intenet.

Załączone pliki



#6
picasso

picasso

    Administrator

  • Administratorzy
  • 27902 postów
Ogólnie już dobrze, czynnej infekcji nie widzę. W USBFix wyłowiłam serię plików, która co dopiero zapisała się na partycji Recovery i to wygląda na miot infekcyjny:

[27/08/2010 - 23:50:53 | RSH | 33508] 	E:\cbxm.pif
[27/08/2010 - 23:50:54 | A | 1191936] E:\Info.exe
[27/08/2010 - 23:51:28 | RSH | 29412] E:\sdux.exe


Dodatkowo, jest mi nieznana zawartość katalogu Kosza na urządzeniu USB, a folder jest modyfikowany w bliskim zakresie czasowym:

[19/06/2010 - 16:25:22 | SHD ] 	G:\Recycled


W OTL zaś jedynie drobne odpadki po deinstalacjach. Wszystkie zadania złączę w jeden skrypt.


1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
E:\cbxm.pif
E:\Info.exe
E:\sdux.exe
G:\Recycled

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Harmonogram automatycznej usługi LiveUpdate)
DRV - File not found [Kernel | Unknown | Running] -- -- (SASKUTIL)
DRV - File not found [Kernel | Unknown | Running] -- -- (SASDIFSV)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - No CLSID value found.
O4 - HKLM..\RunOnce: [] File not found


Jak poprzednio: Wykonaj skrypt. Tym razem jednak nie będzie restartu. Wystarczy, że pokażesz tylko ten log z usuwania.

2. Pozbądź się kopii usuwanych obiektów i flaków narzędzi. W OTL wywołaj funkcję Sprzątanie. Odinstaluj USBFix i SalityKiller.

3. Przeprowadź zerowanie zawartości katalogów Przywracania systemu: INSTRUKCJE.

4. Przeprowadź generalny skan systemu, trzymając się jednej stajni możesz skorzystać z Kaspersky Virus Removal Tool 2010. Raport końcowy przedstaw do oceny.




.

Użytkownik picasso edytował ten post 17-10-2011 - 08:27
30.09.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.





Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych