Skocz do zawartości

Infekcja Malware.Packer.Gen i Trojan.Agent/Gen-Packed[LordPE]


Rekomendowane odpowiedzi

Witam,

 

To świństwo przybyło prawdopodobnie na obcym pendrivie (nie mam już do niego dostępu). Objawy:

 

- Brak dostępu do internetu we wszystkich aplikacjach poza Internet Explorerem. Wygląda to, jakby był blokowany cały ruch na porcie 80.

 

- Zablokowany Task Manager oraz Regedit. Można doraźnie naprawić tę sytuację w rejestrze (DisableTaskMgr, DisableRegistryTools), ale po krótkim czasie następuje ponowne nadpisanie wspomnianych kluczy.

 

- Na wszystkich dyskach (lokalnych i zewnętrznych USB) instalowane są pliki autorun.inf wraz z exe/pif o zmiennych nazwach (np. pdawk.exe, cntph.exe). Autoruna takiego nie da się usunąć, dopóki nie zkilluje się procesu, który trzyma do nich uchwyt - a jest to za każdym razem inny proces, ale spośród procesów, które zazwyczaj są normalnymi, zdrowymi programami (nie udało mi się namierzyć jakichś nowych podejrzanych nazw procesów). Po usunięciu autoruna za chwilę jest tworzony nowy.

 

- Nie działa tryb awaryjny przez F8: podczas ładowania wyskakuje blue screen i komp się resetuje.

 

- Nie działa Norton Internet Security.

 

Skanowałem system programami Malwarebyte's Anti-malware i SuperAntiSpyware (ten drugi już przestał działać). Malwarebyte znalazł wirusy: Malware.Packer.Gen i Trojan.Agent, a SAS -

Trojan.Agent/Gen-Packed i Trojan.VXGame-Variant/D. Niestety po usunięciu zainfekowanych plików i reboocie, sytuacja ani na jotę się nie poprawia.

 

Załączam zestaw logów ze wspomnianych antywirusów oraz z USBFix-a, OTL-a i GMER-a.

OTL.Txt

Extras.Txt

UsbFix.txt

gmer1.txt

mbam-log-2010-08-25 (02-59-32).txt

SUPERAntiSpyware Scan Log - 08-25-2010 - 21-52-22.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Co dopiero w temacie niżej pisałam KLIK. Wszystko wskazuje na to, że i Ty masz niestety infekcję wykonywalnych wszystkich dysków Sality. Poświadcza to: rootkit-usługa rhklm.sys (amsint32) widzialna w GMER i OTL, charakterystyczne nawroty blokad rejestru i menedżera, skasowany tryb awaryjny i pady programów.

 

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\rhklm.sys -- (amsint32)

 

Prócz Sality błąkają się i inne elementy, ale Sality to priorytet, ponieważ nie jest nawet wiadome jak bardzo masz zniszczony system. Na pewno wszystkie programy, które działały a przestają, są już zainfekowane wirusem i tu już można tylko podjąć próbę leczenia plików, a przy jej zawodności wyrzucenie programów z dysku. Podaję na teraz dwie metody ratunkowe:

 

1. (Mniej skuteczne) leczenie spod działającego systemu: SalityKiller (on także znosi polisy rejestru i rekonstruuje tryb awaryjny).

2. (Efektywniejsze) leczenie z poziomu startowej płyty, do wyboru kilka i może być to sama stajnia tzn. Kaspersky Rescue Disk (KLIK).

 

Rozpocznij od prostszego wariantu, a po użyciu Killera wykonaj nowy zestaw logów do oceny.....

 

 

 

.

Odnośnik do komentarza

Faktycznie.. SalityKiller miał dużo do roboty! Ale niby wszystko udało mu się wyleczyć i po reboocie program odpalony z opcją monitoringu ("SalityKiller.exe -m") nie pokazuje już żadnych zagrożeń. Z tym, że część programów (antywirusy np., total commander) nadaje się tylko do wyrzucenia. Odpaliłem także Disable_autorun.reg oraz SafeBootWinXP.reg z pakietu Sality_RegKeys, dzięki czemu mam już dostęp do trybu awaryjnego. Niestety dalej nie mam dostępu do internetu, poza trybem awaryjnym, w którym nie ma tego problemu.

 

Oto zestaw nowych logów z OTL i Gmera. Ten drugi tym razem wykrył rootkita w dwóch plikach: savedump.exe i symantecowym AUPDATE.EXE.

OTL2.Txt

gmer2.txt

Odnośnik do komentarza

Mam wątpliwości, czy Sality jest zabity, bo nadal jest tu jego usługa (choć w GMER jej nie widzę już):

 

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\rhklm.sys -- (amsint32)

 

Zapomniałeś podać aktualny log z USBFix, toteż nie podejmuję teraz czyszczenia USB, bo nie wiem jak się zmieniła sytuacja. Natomiast na dysku C widzę tych delikwentów:

 

[2010-08-27 23:24:37 | 000,033,508 | RHS- | M] () -- C:\ooftvp.exe

[2010-08-27 23:19:31 | 000,033,508 | RHS- | M] () -- C:\hvybm.pif

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\rhklm.sys -- (amsint32)
[2010-08-27 23:24:37 | 000,033,508 | RHS- | M] () -- C:\ooftvp.exe
[2010-08-27 23:19:31 | 000,033,508 | RHS- | M] () -- C:\hvybm.pif
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij proces usuwania przez Wykonaj skrypt. Po restarcie systemu otrzymasz z tego log.

 

2. Odmontuj Symantec, pomocą służy Norton Removal Tool. Następnie wszystkie niedziałające programy. Przeprowadź również demontaż wszystkich Java za pomocą JavaRa, potem nadpiszesz najnowszą wersją.

 

3. Po tych wszystkich zadaniach wygeneruj nowy komplet logów, włączając USBFix z opcji Listing przy podpiętym urządzeniu USB. Dodaj log z usuwania powstały w punkcie 1.

 

 

 

 

.

Odnośnik do komentarza

Ogólnie już dobrze, czynnej infekcji nie widzę. W USBFix wyłowiłam serię plików, która co dopiero zapisała się na partycji Recovery i to wygląda na miot infekcyjny:

 

[27/08/2010 - 23:50:53 | RSH | 33508] 	E:\cbxm.pif

[27/08/2010 - 23:50:54 | A | 1191936] E:\Info.exe

[27/08/2010 - 23:51:28 | RSH | 29412] E:\sdux.exe

 

Dodatkowo, jest mi nieznana zawartość katalogu Kosza na urządzeniu USB, a folder jest modyfikowany w bliskim zakresie czasowym:

 

[19/06/2010 - 16:25:22 | SHD ] 	G:\Recycled

 

W OTL zaś jedynie drobne odpadki po deinstalacjach. Wszystkie zadania złączę w jeden skrypt.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
E:\cbxm.pif
E:\Info.exe
E:\sdux.exe
G:\Recycled
 
:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Harmonogram automatycznej usługi LiveUpdate)
DRV - File not found [Kernel | Unknown | Running] --  -- (SASKUTIL)
DRV - File not found [Kernel | Unknown | Running] --  -- (SASDIFSV)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - No CLSID value found.
O4 - HKLM..\RunOnce: []  File not found

 

Jak poprzednio: Wykonaj skrypt. Tym razem jednak nie będzie restartu. Wystarczy, że pokażesz tylko ten log z usuwania.

 

2. Pozbądź się kopii usuwanych obiektów i flaków narzędzi. W OTL wywołaj funkcję Sprzątanie. Odinstaluj USBFix i SalityKiller.

 

3. Przeprowadź zerowanie zawartości katalogów Przywracania systemu: INSTRUKCJE.

 

4. Przeprowadź generalny skan systemu, trzymając się jednej stajni możesz skorzystać z Kaspersky Virus Removal Tool 2010. Raport końcowy przedstaw do oceny.

 

 

 

 

.

Edytowane przez picasso
30.09.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...