Infekcja nimnul i dropper script generic

[portip]

jestem laikiem więc ciężko mi dokładnie opisać na czym polega mój problem..

wiem na pewno że komputer jest zainfekowany nimnulem i dropperem. (walczyłem z nimi kasperskym przez ostatnie kilkadziesiąt godzin - log w załączniku)

2 sprawa to zauważone przez gajedana z forum idg wpisy w logu OTL.

O20 - HKLM Winlogon: UserInit - (F:\Program Files\gwuevbhs\odmqgenj.exe) - F:\Program Files\gwuevbhs\odmqgenj.exe File not found

[2011-03-12 00:08:54 | 000,171,417 | ---- | C] (Daniel Pistelli) -- F:\WINDOWS\Explorermgr.exe

[2011-03-12 00:08:22 | 000,171,417 | ---- | C] (Daniel Pistelli) -- F:\WINDOWS\System32\NOTEPADmgr.exe

[2011-03-12 00:04:20 | 000,000,000 | ---D | C] -- F:\Program Files\gwuevbhs

z którymi probowaliśmy walczyć za pomocą Avengera i L2mfix'a - bez skutku

 

3 sprawa która mnie niepokoi to fake'owe procesy w menedżerze zadań ktore zauważyłem - chodzi o operę i iexplorer - czasami pojawiają się nawet 3 kopie opery i 2 ie choć nie mam włączonego ani jednego ani drugiego

 

 

temat powadzony był wcześniej tu

 

ps. probowałem użyć bootowalnej płytki z kasperskym ale niestety cały czas krzyczy że baza danych jest uszkodzona. nie pomaga ani aktualizacja ani jej cofanie. Próbowałem też płytki G data ale ta niestety również odmówiła współpracy.

ps2. istnieje jeszcze pewien poboczny problem. w trakcie skanowania folder z kwarantanną kasperskiego zaczął przybierać tak monstrualne rozmiary (ok14gb) że zaczęło brakować miejsca na partycji systemowej. da się coś z tym faktem zrobić?

 

z góry dzięki za pomoc

 

najnowsze logi

KAV - http://www.voila.pl/045/3uqix/ - niestety nie udało mi sie wrzucić tego na wklej.org

GMER - http://wklej.org/id/493434/

 

niestety logi robione w trakcie działania jakiegoś emulatora.. albo acohol albo magic disc ani jeden ani drugi nie daje sie usunąć.

OTL.Txt

Extras.Txt

[Landuss]

ps2. istnieje jeszcze pewien poboczny problem. w trakcie skanowania folder z kwarantanną kasperskiego zaczął przybierać tak monstrualne rozmiary (ok14gb) że zaczęło brakować miejsca na partycji systemowej. da się coś z tym faktem zrobić?

 

Tu masz odpowiedz jak potężne rozmiary ma ta infekcja u ciebie. Dopóki jej nie uleczymy nie ma co sie brać za poboczne obiekty te które widać w logu. Kwarantanne najwyżej opróżnisz jeśli bedzie brakować miejsca. Według loga Kaspersky niektóre pliki leczy, ale nie wszystkie. Może byc tez taki scenariusz ze tutaj potrzebny będzie format dysku. Przy tego typu infekcjach to bardzo realne rozwiązanie. Na razie skanuj do skutku dopóki program nic nie wykryje. Kaspersky to dobre narzędzie na tą infekcję.

 

 

[portip]

teraz pytania.

1 dało by się jakoś przyśpieszyć skanowanie? może w jakiś sposób kazać mu skanować tylko te pliki które mogą być zakażone (html, dll, exe)?

2 pytanie o to jak skanować. w trybie awaryjnym ? z dostępem do sieci czy bez? czy to nie ma żadnego znaczenia. pewnie najlepiej byłoby z tej bootowalnej płytki. sprobuję ją jeszcze raz wypalić. [edit] spróbowałem. dalej krzyczy że baza danych uszkodzona, a po aktualizacji, że nie wszystkie składniki zostały zainstalowane.

3 Zauważyłem że te fakeowe procesy opery i ie spowalniają działanie skanera. (choć mogę sie mylić) Czy nie byłoby dobrym pomysłem zawalczyć z nimi najpierw?

[jessica]

Widzę, że na tamtym forum nikt nie ma ochoty Ci pomóc.

Przykro mi, że to ja poleciłem Ci tamto forum.

To z forum, z którego zostałeś skierowany tu.

Najprawdopodobniej nie doczekawszy się odpowiedzi przez trzy dni już zdążyłeś sformatować dysk - na pocieszenie dodam, że tej wersji wirusa nie jest w stanie usunąć nawet bootowalny Kaspersky Rescue Disk, i w większości wypadków nawet po jego użyciu następuje sformatowanie dysku. Poprzednia wersja tego wirusa była dużo łatwiejsza do usunięcia, bo usuwał ją nawet zwykły Kaspersky Virus Removal Tool. Pewnie w najbliższym czasie Kaspersky Rescue Disk nauczy się skutecznie usuwać tego wirusa.

[picasso]

1. To podtrzymywanie iluzji leczniczych. Trzeba wiedzieć kiedy z sensem spasować i wybrać bardziej optymalne rozwiązanie, a nie bawić się w sport i usuwać infekcję ot tylko po to by ją "usunąć" nie licząc się z innymi aspektami sprawy. Nie tak dawno o tym mówiłam tu: KLIK. 14 GIGA w kwarantannie kontra objętość całkowita:

 

Drive F: | 35,76 Gb Total Space | 1,02 Gb Free Space | 2,85% Space Free | Partition Type: NTFS

.... mówią samo za siebie. A co gorsza tu jest jeszcze ten ogromny dysk o nie do końca znanej zawartości:

 

Drive G: | 430,00 Gb Total Space | 97,24 Gb Free Space | 22,61% Space Free | Partition Type: NTFS

 

Powody dla których uważam działania za nielogiczne: strata czasu, nieproporcjonalnie mizerne efekty leczenia do zastanej usterki, zbyt rozległa infekcja, nawet jeśli nastąpi cud, system nie uzyska pierwotnej sprawności i pewnie wszystko i tak będzie do reinstalacji (a z tego systemu nie wolno niczego kopiować do "kopii zapasowej"). Dlatego wybranie formatu jest w mojej opinii (a bardzo rzadko taką opinię wydaję) lepszą opcją niż szamotanie się ze skanerem.

 

2. Jeśli owe iluzje nadal Cię interesują (ja mówię: nie warto), to przy takim rozstrzeleniu infekcji z pewnością odpada leczenie wykonywalnych spod działającego systemu. Za to bootowalnych płyt jest sporo i jeśli nie startuje Kaspersky, wybierz kolejną: KLIK. Tylko płyta musi być pobrana i nagrana na innym systemie.

 

3. Jest możliwe, że jest tu niewidoczny czynnik innego typu, który zapobiega leczeniu = bootkit. Był tu na forum taki temat z Nimnull, gdzie w MBR siedział TDL4, usuwanie było zupełnie nieskuteczne. Użyty tu GMER nie jest najnowszym (jest już nowszy z poprawką na kolejną modyfikację TDL4). Płyty bootowalne, w tym Kaspersky Rescue Disk, nie dają żadnej gwarancji i mogą w ogóle nie wykryć modyfikacji MBR (aktualnie tu na forum wszystkie przypadki z TDL4, gdzie używano boot płyty = żadna nie wykryła tego rootkita). Dla orientacji z czym mamy do czynienia zrób skan z Kaspersky TDSSKiller.

 

 

 

---

PS. Mój Boże. W tamtym temacie używanie .... L2mfix?! To jest archaizm sprzed kilku lat i nikt tego już nie używa na polu malware, bo narzędzia ewoluowały i aktualnie O20 to nie stanowi żadnego problemu. Tu to nie działa, ponieważ problem ma inne podłoże. A za komendę "RD /S /Q " (to komenda dla folderów = Remove Directory) na ... plikach po prostu kara śmierci. I nie zamknięta ścieżka ze spacją w "". Żadna z tych komend nie miała się prawa nawet wykonać. Inna sprawa, że te metody przy działających procesach malware można o kant. Już nie wczytuję się tam dokładnie w przebieg akcji, bo nie mam czasu.

 

.

[portip]

właśnie jestem w trakcie przygotowań do reinstalacji jednak zaniepokoiło mnie twoje stwierdzenie

z tego systemu nie wolno niczego kopiować do "kopii zapasowej"

czy to oznacza że nie mogę wypalić teraz żadnej płytki dvd z najpotrzebniejszymi danymi? chodzi mi tu oczywiście o pliki które teoretycznie nie powinny być zainfekowane nimnulem czyli wszystko poza plikami html, dll, exe.

jeśli dobrze rozumiem to czy istnieje jakikolwiek sposób aby cokolwiek ocalić i nie zainfekować świeżo postawionego systemu ponownie ?

[picasso]

czy to oznacza że nie mogę wypalić teraz żadnej płytki dvd z najpotrzebniejszymi danymi? chodzi mi tu oczywiście o pliki które teoretycznie nie powinny być zainfekowane nimnulem czyli wszystko poza plikami html, dll, exe.

 

Przepraszam, nie uściśliłam z powodu oczywistości tematu i użycia hasła "reinstalacja", chodzi rzecz jasna o to, by nie przenosić żadnych plików wykonywalnych. Dane czysto tekstowe, graficzne i inne typy plików nie atakowane przez tę infekcję nie powinny stanowić zagrożenia. Przypominam Ci również, że dwa dyski muszą być czyszczone, F + G (wg raportów Kasperskiego oba mają geny wirusa):

 

Drive F: | 35,76 Gb Total Space | 1,02 Gb Free Space | 2,85% Space Free | Partition Type: NTFS
Drive G: | 430,00 Gb Total Space | 97,24 Gb Free Space | 22,61% Space Free | Partition Type: NTFS

Edytowane 21 Kwietnia 2011 przez picasso
21.04.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso