Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

Głęboka infekcja plików wykonywalnych przez wirusa z rodziny polimorficznych + robaki

lopo

Przez lopo
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

lopo

lopo

Opublikowano
Opublikowano

Witam

Proszę o pomoc w zwalczeniu infekcji mojego kompa ,walczę już od 2 tygodni i pomału wyczerpuje się moja cierpliwości oraz moja nikła wiedza w tej domenie . A więc zaczynając od początku podczas kończenia przeglądania str. internetowych wyskoczył alert Avasta 7 o wirusie (nie pamiętam nazwy) omyłkowo kliknąłem na anuluj zamiast bloku lub usuń (nie pamiętam ),no i się zaczęło samoczynny restart kompa. Po wystartowaniu i załogowaniu się pulpit wyglądał normalnie ale komputer się mulił więc zacząłem od razu skanować Avastem ,Syp-botem, oraz mbam ,ale nic nie wykryły .Miałem jeszcze trochę wolnego czasu włączyłem gierkę cod5 mp ,po paru minutach gry na serwerze wyskoczył niebieski ekran śmierci ,po włączeniu zastosowałem taką samą procedurę skanowania i aktualizacji baz ponadto aktualizowałem program Avasta i przeinstalowałem Syp-bota i znowu nic nie wykryły.. Włączyłem menadżera zadań i okazało się że nie mam podglądu wszystkich użytkowników jako administrator , ale było już późno wyłączyłem i poszedłem spać .Na drugi dzień okazało się że nie mogę w ogóle włączyć menadżera zadań przez alt+del+ctrl to spróbowałem z poziomu panelu sterowania przez narzędzia admin. Wyskoczył komunikat o braku uprawnień admin. .Od razu zacząłem ściągać z netu skanery, ots itp. ,ale za każdym razem w internet explorer 9 po zakończeniu pobierania usuwał ze względu na wykrycie wirusa.. Ponowiłem próby z poziomu awaryjnego ale ta sama sytuacja dodatkowo blokada str. z oprogramowaniem antywirusowymi oraz w najlepszym przypadku zawieszaniem się Avasta i pozostałych antywirusów po chwili skanowania ale z reguły restart .lub awaryjne zrzuty pamięci. Na następny dzień z innego kompa zassałem z netu pakiecik skanerów i przekopiowałem na swojego ,ale okazało się że podczas instalacji lub aktywacji skanerów e.x.e wyskakuje czarne okienko dosowe na maksymalnie 2 sekundy tak samo już zainstalowane Syp-bot,MBAM a programy com ,scr- komunikat program nie jest prawidłową aplikacją Windowsa. Dopiero z poziomu awaryjnego za pomocą Remove Fake Antivirus, CCE Comodo a w szczególności Combofixa który naprawił menadżera zadań ,usnąłem nim Rootkit.HiddenDir,HackTollWin32keygen, oraz zainfekowanie pliki .W tej chwili zdałem sobie sprawę że trybie awaryjnym nie jestem wstanie podleczyć kompa .Zassałem i wypaliłem płytkę kasperskiego oraz zrobiłem botowe USB SARDU z całym grupą antywirusów za pomocą ich usunąłem BackDoor.Generic 421155 ;DropperWin32/Dunik!rts ;Win32Nimda.htm oraz zainfekowane pliki .Ponadto używałem Unlockera do masowego odblokowania folderów i plików oraz skanerów w trybie awaryjnym stinger; clamwin-0.97.5; arcavirmicroscan; antizeroaccess(wykrył 1błąd); HitmanPro36(po 8 skanach odinstalowałem ); prevxcsifree; mbr; regassassin; TFC; Autoruns; CSU FREE; aswclear; msert;DrWeb launch ; Kaspersky Virus Removal Tool; windows-kb890830-v4.10; adwcleaner; Defogger; NPECCleaner;TDSSKiller(wykrył UsignedFile.Multi Generic);Revo Unistaller ;OTL:Gmer;OTH;OTS i kilku innych. Zapomniałem nadmienić że odinstalowałem Avasta 7 Home free,Syp-Bota, MBAM; IE9;IE8 i dokonałem 1 przywrócenia systemu .Sytuacja na chwilę obecną wygląda następująco przy wyłączonej funkcji kontroli konta użytkownika ma pełną kontrole oraz dostęp do narzędzi admin.i innych w trybie normalnym ,zainstalowałem murek Comodo , MBAM; Clam Win Antivirus ;uruchomiłem updateWin ,który ściągnął kilka łatek i IE9 oraz AVGFree2012 ale wyskakiwał mi alert że AVG nie jest prawidłową aplikacją pod windowsa (coś w ten deseń )po kilku próbach naprawy odinstalowałem..z panel windowsa. Od wczoraj mogę zrobić obowiązkowe logi na forum prócz OTL nawet przy użyciu OTH i innych programów maskujących jego działanie po kilku minutach skanowania wyskakuje alert Out of memory ,w zamian zrobiłem OTSem

A jeśli chodzi Gmera log dałem rade zrobić tylko podczas skanowania parę dni temu którymś skanerem z SARDU był na liści zainfekowanych Nie wiem czy związku tym jego log nie jest zafałszowany ,a propo przejrzystości logów przez jakiś czas była zmodyfikowana data na rok 2002 i od razu jak za uwarzyłem poprawiłem ją na prawidłową , związku z czym okres modyfikacji plików ustawiony w GMERu na 30 dni może nie pokazać pełnego obrazu jak mniemam nadal istniejącej infekcji .`Dodatkowo załączam inne logi oraz log z weryfikacji spójności Cmd .I na sam koniec objawy które nadal występują;

1)Komunikat błędzie Program Microsoft Windows Search Protcol Host przestał działać.-niezależnie od trybu rozruchu..

2)Podczas próby przeglądania folderu moje dokumenty ,pobierane itp. wyskakuje komunikat błąd explorera przestał działać i uruchamia na nowo niezależnie od trybu rozruchu.

.

.Z góry serdecznie dziękuj za podjęcie tematu .

 

CBS http://speedy.sh/TBffS/CBS.log

Ots http://wklej.org/id/811430/

attach http://wklej.org/id/811438/

gmer http://wklej.org/id/811440/

DDS http://wklej.org/id/811442/

tdsskiller http://wklej.org/id/811446/

błąd e http://wklej.org/id/811448/

błąd w http://wklej.org/id/811450/

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

W bieżących logach nic ciekawego, tylko odpadki po używanych skanerach, w tym grupa usług losowych po uruchomieniu Rootkit Revealer. Na razie jednak nie zadaję żadnych porządków.

 

 

  Cytat

a w szczególności Combofixa który naprawił menadżera zadań ,usnąłem nim Rootkit.HiddenDir,HackTollWin32keygen, oraz zainfekowanie pliki (...) Zassałem i wypaliłem płytkę kasperskiego oraz zrobiłem botowe USB SARDU z całym grupą antywirusów za pomocą ich usunąłem BackDoor.Generic 421155 ;DropperWin32/Dunik!rts ;Win32Nimda.htm oraz zainfekowane pliki (...) antizeroaccess(wykrył 1błąd); HitmanPro36(po 8 skanach odinstalowałem ); prevxcsifree; mbr; regassassin; TFC; Autoruns; CSU FREE; aswclear; msert;DrWeb launch ; Kaspersky Virus Removal Tool; windows-kb890830-v4.10; adwcleaner; Defogger; NPECCleaner;TDSSKiller(wykrył UsignedFile.Multi Generic)

Rozwiń  

 

1. Czy posiadasz zapisane wyniki skanów? Sama nazwa zagrożenia to za mało by ocenić sprawę i by stwierdzić co to faktycznie było, brak tu jakichkolwiek ścieżek dostępu definiujących co było robione. Zaś akcje w TDSSKiller to raczej błąd Twojej oceny. Typ UnsignedFile.Multi.Generic to tylko adnotacja braku sygnatury, ten wynik nie jest jednoznaczny z infekcją i należy go dopiero zanalizować a nie usuwać. Skutki: usunąłeś prawidłowe usługi od Conexant, Hewlett-Packart, Nero, InstallShield.

 

2. Dodatkowa uwaga na temat określonych skanerów, niektórych nie ma sensu stosować w dniu dzisiejszym. C:\SmitfraudFix(dobreprogramy.pl).exe = to kompletnie przestarzały program, do niczego w bieżących warunkach. RootkitRevealer podobnie, zupełnie nieaktualizowany od roku 2006, niezdolny wykrywać nowoczesnych rootkitów. Spybot - Search & Destroy również archaizm, nie ponawiaj instalacji.

 

 

  Cytat

zainstalowałem murek Comodo , MBAM; Clam Win Antivirus

Rozwiń  

 

Czy to na pewno wersja COMODO tylko z firewallem bez antywirusa? W pakiecie wszedł i komponent COMODO GeekBuddy, to funkcja w trialu i zbędna (do deinstalacji). Poza tym, mówisz o ClamWin, ale jest tu i Ad-aware. To za dużo. Zresztą ten ClamWin to słaby antywirus.

 

 

  Cytat

Od wczoraj mogę zrobić obowiązkowe logi na forum prócz OTL nawet przy użyciu OTH i innych programów maskujących jego działanie po kilku minutach skanowania wyskakuje alert Out of memory ,w zamian zrobiłem OTSem

Rozwiń  

 

Czy w Trybie awaryjnym jest ten sam problem?

 

 

  Cytat

I na sam koniec objawy które nadal występują;

1)Komunikat błędzie Program Microsoft Windows Search Protcol Host przestał działać.-niezależnie od trybu rozruchu..

2)Podczas próby przeglądania folderu moje dokumenty ,pobierane itp. wyskakuje komunikat błąd explorera przestał działać i uruchamia na nowo niezależnie od trybu rozruchu.

Rozwiń  

 

1. Zwłaszcza pod kątem błędu SearchProtocolHost.exe zwracają uwagę wyniki filtrowania skanu SFC:

 

  Pokaż ukrytą zawartość

 

 

Wykryte uszkodzone pliki Windows, nie zostały wcale naprawione, bo brak w systemie prawidłowych kopii ("Could not reproject corrupted file ...; source file in store is also corrupted"). Tu jeden z przykładów, właśnie na uszkodzone składniki Windows Search: 

2012-08-13 14:42:28, Info CSI 00000274 [sR] Cannot repair member file [l:24{12}]"msscntrs.dll" of WindowsSearchEngine, Version = 7.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2012-08-13 14:42:31, Info CSI 00000276 [sR] Cannot repair member file [l:24{12}]"msscntrs.dll" of WindowsSearchEngine, Version = 7.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2012-08-13 14:42:31, Info CSI 00000277 [sR] This component was referenced by [l:158{79}]"Package_15_for_KB948465~31bf3856ad364e35~x86~~6.0.1.18005.948465-47_neutral_GDR"
2012-08-13 14:42:32, Info CSI 0000027a [sR] Could not reproject corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"msscntrs.dll"; source file in store is also corrupted

 

Cóż, wymagana podmiana fabrycznymi plikami Vista zgodnymi co do joty z buildami, które przedstawia skan SFC. Nie wiem czy tu się opłaca sztukować (w domyśle: dosyłam pliki wyekstraktowane z Vista i podmieniamy po kolei). Ten system dużo przeszedł, mam pytanie: jaki rodzaj reinstalatora systemu posiadasz? Czy to normalna płyta instalacyjna Vista czy może jakieś Recovery producenta (z dysku bądź utworzonych oddzielnie dysków DVD)?

 

2. Pod kątem błędu podczas otwierania określonych folderów zrób jeszcze test na rozszerzenia powłoki. Doinstalowałeś aplikacje, które wprowadzają nowe integracje (ClamWin, COMODO AV). Podobnie z WinZip, niezależnie od tego czy był wcześniej, jest cholernie stary (z roku ... 2005!), a to może oznaczać kłopoty w powłoce. Uruchom ShellExView - zaznacz hurtem wszystkie różowe (niedomyślne rozszerzenia) i zdeaktywuj, zresetuj system. Podaj wyniki czy problem nadal występuje.

 

Odnośnik do komentarza
lopo

lopo

Opublikowano
  • Autor
Opublikowano

Na wstępie bardzo dziękuję za podjęcie tematu i :wacko: najmocniej przepraszam jeśli moja ocena jako laika była tak chybiona w ocenie przyczyn i doborze działu pomocy ,ale byłem święcie przekonany że w najlepszym przypadku to ZeroAccess a problemy z plikami Windowsa to skutek agresywnych trybów skanowana . W odpowiedzi na twoje pytanie.

1), Niestety nie znalazłem wszystkich logów między innymi ComboFix próbowałem za pomocą programów do odzyskiwania utraconych danych , ale na razie z mizernym skutkiem, resztę załączam.

2)Dziękuje za uwagę , ale głównym powodem zastosowania teraz co niektórych programów i metod jest zastępczy ( awaryjny Pc) z paroma MB RAMu a co za tym idzie kłopot z przeglądaniem netu, a jeśli chodzi o Spybot - Search & Destroy na pewno nie będę ponawiał instalacji bo od pół roku nosiłem się zamiarem deinstalacji .Odnośnie COMODO tak to tylko firewall z GeekBuddy którego zainstalowałem z ciekawości i już zdeinstalowałem . ClamWin zainstalowałem bo :

1 Ad-aware po zainstalowaniu nie dawał oznak życia .

2 Miałem tylko jego pod ręką jako opcje tymczasową (do deinstalacji )Docelowa konfiguracja jaką chce ustawić AVG 2012 + COMODO firewall +MBAM..

Odnośnie OTL próbowałem po kilka razy w każdym trybie od normalnego po czysty w tym ostatnim 16 procesów uruchomionych ,100MB zajęte pamięci -wolnej 1,9GB .Po kilkunastu minutach pracy OTLu na stabilnym poziomie zaczął pożerać RAMy i wykładał się .

Także próbowałem z OTH w trybie normalnym ,ale po uruchomieniu Killall następował awaryjny zrzut pamięci .(Poniżej załączam)

 

http://wklej.org/id/813579/

 

Ponadto próbowałem ponowić użycie RootRepeal ale wystąpił te sam efekt co w OTLu z tym że dodatkowo okienko programu i błędu stały się przeźroczyste (ala program lupa )

Odnośnie drugiej części:

1)Pakiet -Windows Vista Home Premium OEM

 

Dokładne parametry płytki instalacyjnej.

Windows Vista Home Prem 32-bit Polish 1pk DSP OEI DVD

 

2)Wykonane - po pierwszych rozruchach wyskakiwał w następnym nie .

Próby z OTL wykonałem bezpośrednio po procedurze z ShellExView. :)

 

 

kaspersky http://wklej.org/id/813587/

CCE Comodo http://wklej.org/id/813594/

CCE Comodo http://wklej.org/id/813598/

CCE Comodo http://wklej.org/id/813603/

CCE Comodo http://wklej.org/id/813604/

msert http://wklej.org/id/813607/

DrWeb CureIt http://www.speedysha...S9zP/CureIt.txt

Skan http://wklej.org/id/813646/

DRWeb http://wklej.org/id/813657/

Skan http://wklej.org/id/813660/

ClamWin http://wklej.org/id/813674/

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...