Virus Win32 Virut

[l4rgo]

Witam, od kilku dni mam problem z komputermi w sieci firmowej. Problemy na jednym z nich zaczeły się objawiać w postaci zastąpienia strony startowej, wyskakującyh okienek w przeglądarkach i ogólnie znacznego spowolnienia internetu. Po czym komp został przeskanowany różnymi programami pod kątem wirusów, trojanów, rootkitów i innego złośliwego oprogramowania. Pierwszą rzeczą jaką zrobilem to pobrałem Combofixa, wszystkie próby uruchomienia skutkowały wywalaniem komunikatu o tym że aplikacja została zmodyfikowana przez virus typu Virut. Z tego co wyczytałem na necie infekuje losowo aplikacje .exe. Więc pobrałem kilka różnych narzędzi usuwających tego typu szkodniki które nic nie wskurały, prawdziwy problem pojawił się dopiero poźniej ponieważ komputer został kompletnie zablokowany wyświetlając komunikat: "Komputer został zablokowany z powodu naruszenia prawa Polskiego" prosząc o jakąś tam wpłatę Pobrałem narzędzia typu Avira rescue cd i Kaspersky rescue disk. Avira naprawiła i usuneła wiekszość robactwa ale problem z zablokowanym komputerem pozostał, natomiast Kasperski naprawił i usunął praktycznie wszystko ale usunął też pliki systemowe które były zarażone. Pojawił się problem z automatycznym wylogowywaniem za każdym razem jak próbowałem logować się na jakiekolwiek konto użytkownika. Następnie zreperowałem uszkodzony system przez płytkę z WinXP. I teraz chciałbym się dowiedzieć czy system jest rzeczywiście wolny od szkodników. Druga sprawa, drugi komputer który pracuje w sieci ma również podobny problem z Virutem. Proszę o pomoc w obydwu sprawach. W załączniku przesyłąm logi OTL i Gmer obydwu komputerów. Pozdrawiam

KOMP1 OTL.Txt

KOMP1 Extras.Txt

KOMP1 GMER.TXT

KOMP2 OTL.Txt

KOMP2 Extras.Txt

KOMP2 gmer.txt

[picasso]

Nie dam gwarancji na temat sprawności systemów po Virucie. Infekcja jest bolesna, szkody w Windows trudne do precyzyjnego określenia tylko na podstawie podanych logów. Proponuję rozważ format. Czy na pewno w aktualnym stadium określony skaner antywirusowy nie widzi zainfekowanych plików?

 

 

KOMP 1

 

Ubytki w usługach Windows, brak plików systemowych:

 

SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\ups.exe -- (UPS)
SRV - File not found [Auto | Stopped] -- %SystemRoot%\system32\nwcwks.dll -- (NWCWorkstation)
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\system32\netdde.exe -- (NetDDEdsdm)
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\system32\netdde.exe -- (NetDDE)
SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\system32\clipsrv.exe -- (ClipSrv)

 

Widoczne także rozmaite ślady infekcyjne. Poza tym, jest tu podpięty jakiś tajemniczy pendrive z ukrytych plikiem autorun.inf (to może być reinfektor):

 

O32 - AutoRun File - [2012-08-29 08:35:18 | 000,000,165 | RHS- | M] () - Z:\AutoRun.inf -- [ FAT ]

 

I jaki był celu uruchamiania DummyCreator?

 

[2012-09-07 09:38:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\177526167
[2012-09-07 09:34:28 | 000,000,000 | ---D | C] -- C:\Documents and Settings\partner1\Pulpit\DummyCreator

 

 

Czyli na teraz mogę tylko doczyścić te szczątki infekcji + skanerów (Panda i reszta), które widzę:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\tvx.dat
C:\WINDOWS\System32\og.dll
C:\WINDOWS\System32\ul.dll
C:\WINDOWS\System32\og.EDT
C:\WINDOWS\System32\RegEx.fnr
C:\WINDOWS\System32\dp1.fne
C:\Documents and Settings\LocalService\Dane aplikacji\qvjsge.dat
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\sLT.exf
C:\Documents and Settings\partner1\Dane aplikacji\Tetyow
C:\Documents and Settings\partner1\Dane aplikacji\Raycgy
C:\Documents and Settings\partner1\Dane aplikacji\myaction3
C:\Documents and Settings\partner1\Dane aplikacji\znek.bat
C:\Documents and Settings\partner1\Dane aplikacji\WindowsManager.bat
C:\Documents and Settings\All Users\Dane aplikacji\UbG0VGQ11.dat
C:\Documents and Settings\All Users\Dane aplikacji\KODj7d1C.exe_.b
C:\Documents and Settings\All Users\Dane aplikacji\KODj7d1C.exe.b
C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
C:\Documents and Settings\All Users\Dane aplikacji\Premium
C:\Documents and Settings\partner1\Dane aplikacji\VshareComplete
C:\Documents and Settings\partner1\Dane aplikacji\Mozilla\Firefox\Profiles\wkmifdll.default\searchplugins\startsear.xml
C:\WINDOWS\SWSC.exe
C:\WINDOWS\System32\sdelme.bat
C:\WINDOWS\System32\DBBK
C:\WINDOWS\System32\drivers\DasBoot*.SYS
C:\WINDOWS\System32\SkanerOnlineUninstall.exe
C:\Documents and Settings\partner1\AVGIDSAgent
C:\Documents and Settings\partner1\DoctorWeb
C:\Documents and Settings\partner1\Dane aplikacji\ArcaVirMicroScan
C:\Documents and Settings\partner1\Dane aplikacji\F-Secure
rd /s /q "C:\Documents and Settings\partner1\Pulpit\GooredFix Backups" /C
rd /s /q "C:\Kaspersky Rescue Disk 10.0" /C
rd /s /q C:\32788R22FWJFW /C
 
:OTL
IE - HKLM\..\SearchScopes\{601572C7-399B-49AE-8622-4F4AC35DBF3F}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=9650459e-1673-11e1-a73a-001a4d40df0c&q={searchTerms}"
IE - HKCU\..\SearchScopes\{601572C7-399B-49AE-8622-4F4AC35DBF3F}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=9650459e-1673-11e1-a73a-001a4d40df0c&q={searchTerms}"
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 36161 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\mswwzhu.bat
SRV - [2012-09-03 16:36:27 | 000,000,106 | -H-- | M] () [Auto | Stopped] -- C:\Documents and Settings\partner1\Dane aplikacji\qvo6.bat -- (4jop8)
DRV - File not found [Kernel | Boot | Stopped] --  -- (crnhz)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\mtcqdnri.sys -- (mtcqdnri)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ckvtysxd.sys -- (ckvtysxd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\partner1\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - [2012-01-17 22:55:36 | 000,059,272 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\DasBootF.SYS -- (DasBootF)
DRV - [2012-01-17 22:55:34 | 000,020,744 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\DasBoot.SYS -- (DasBoot)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\reset.exe /s -- (.EsetTrialReset)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

3. Zrób nowy log z GMER oraz OTL na warunku dostosowanym: w sekcji Własne opcje skanowania / skrypt wpisz słowo netsvcs i klik w Skanuj. Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. Przeklej też zawartość tego pliku autorun.inf z urządzenia mapowanego jako Z.

 

 

 

KOMP 2

 

Nie widzę w logach oznak infekcji. Co najwyżej skrypt kosmetyczny o zawartości:

 

:OTL

SRV - [2009-03-20 15:56:57 | 000,357,182 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\reset.exe -- (.EsetTrialReset)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\partner\USTAWI~1\Temp\catchme.sys -- (catchme)
[2011-07-01 08:53:32 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\partner\Y=Y=
[2010-05-18 11:15:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\ESET
[2008-11-27 11:22:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\F-Secure
[2010-05-18 11:16:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\partner\Dane aplikacji\ESET
[2008-10-02 08:31:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\partner\Dane aplikacji\F-Secure
 
:Files
rd /s /q C:\ComboFix /C
 
:Commands
[emptytemp]

 

 

.

Edytowane 8 Października 2012 przez picasso
8.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso