Skocz do zawartości

Win32/Heur + VBS/Generic


Rekomendowane odpowiedzi

Hey

 

Od razu zastrzegam, że jestem totalnym laikiem w tych sprawach, mam jednak nadzieję, że logi wykonałem dobrze. Z antywirusów używam AVG.

 

Wczoraj około 22 zaczęły atakować mój komp dwa wirusy (Win32/Heur + VBS/Generic), szybki research via google zalecił ściągnięcie Malaware'a, ten jednak nie zadziałał. Za radą jednej osoby z forum koszykarskiego jestem więc tutaj i liczę na pomoc.

 

Przypuszczam, że wirus może być ubocznym efektem korzystania z sieci Global Gossip (jestem obecnie w londyńskim hostelu) - wirusy wystąpiły jakąś godzinę po zalogowaniu się do netu na swoim laptopie poprzez właśnie Global Gossip. Ale ja sie nie znam.

Wczesniej korzystalem z pendrive'a w internet cafe... ale przypomnialem sobie wlasnie, ze nie bylo to na moim laptopie, wiec odpada.

 

Otl.txt - http://wklej.org/id/403278/

Extras.txt - http://wklej.org/id/403280/

 

Z efektów ubocznych zauważalna jest niemożność uruchomienia Mozilli, a także GG...

 

Mam nadzieję, że tyle informacji na na wstepie wystarczy.

 

Pzdr

Stinger.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie wkleiłeś loga z rootkit detectora więc uzupełnij to w kolejnym poście. Do wyboru GMER lub w razie problemów RootRepeal w tym samym linku.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O2 - BHO: (no name) - {0CA10898-7F98-4709-A479-B8134AB3D9F3} - No CLSID value found.
O4 - HKLM..\Run: [nonep] C:\Documents and Settings\Stingerowski\Ustawienia lokalne\Temp\tmp0deffca5\kill.exe ()
O4 - HKU\S-1-5-21-725345543-2077806209-2146892821-1004..\Run: [{B10BFC3D-2D98-82F4-CA38-9D2436A5EC67}] C:\Documents and Settings\Stingerowski\Dane aplikacji\Wyabu\yhray.exe ()
 
:Files
C:\Program Files\win
C:\Program Files\Microsoft
C:\Documents and Settings\Stingerowski\Dane aplikacji\Wyabu
C:\Documents and Settings\Stingerowski\Dane aplikacji\Ybyrwi
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Nowe logi do oceny.

 

 

 

Odnośnik do komentarza

Wygląda, że jest dobrze ale sprawdź mi jeszcze czy coś jest w tych folderach:

 

2010-10-19 18:40 . 2010-10-19 18:40    --------    d-----w-    c:\program files\win

2010-10-17 20:08 . 2010-10-19 18:50 -------- d-----w- c:\program files\Microsoft

 

One się odtworzyły, ja na XP takich folderów nie mam więc spróbuj je usunąć normalnie.

 

Napisz czy problem ustąpił. Jeśli tak przechodzimy do czynności końcowych.

Odnośnik do komentarza

"Coś" w sensie jakichkolwiek plików w katalogu? Jeżeli tak, to oba są czyste. Jeżeli miałeś na myśli coś innego, to proszę o wyjaśnienie. Dziękuję.

Rozumiem, że ewentualnie foldery ręcznie usunąć, gdy okażą się puste?

 

Btw, nie chce mi się otworzyć GG (nie znaleziono crypto.dll, choć jeszcze dzisiaj po porannych skanach mi się otwierało), ani Open Office (nie znaleziono libxml2.dll - to nie otwiera mi się już od wczoraj, nie wykluczam, że w panice wirusowej skasowałem jakiś plik).

 

Wczoraj przed użyciem Gmera odinstalowałem Avg, a potem zainstalowałem Avasta - od kilku godzin Avast żadnej informacji o problemach już mi nie pokazuje...

Odnośnik do komentarza

Ponowne zainstalowanie programów powinno załatwić sprawe. Możesz usunąć foldery. Ewentualnie jeszcze się czymś przeskanuj.

 

1. W Start > Uruchom > wklej i wywołaj polecenie:

"c:\documents and settings\Stingerowski\Pulpit\Install\ComboFix.exe" /uninstall - to spowoduje odinstalowanie ComboFix i reset folderu przywracania systemu.

 

2. Użyj opcji Sprzątanie z OTL.

 

3. Wykonaj obowiązkowe aktualizacje oprogramowania:

 

Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

 

"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21

"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish

"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)

Szczegóły rozpisane w tym temacie: INSTRUKCJE.

 

 

 

 

Odnośnik do komentarza

To nic nie mówi. Napisz na jakim pliku i w jakiej lokalizacji bo to jest istotne.

Pojawia się, gdy chcę odinstalować Open Office'a skutecznie mi to blokując.

 

Z katalogu Open Office/program/dbghelp.dll (przy wcześniejszych próbach deinstalacji wcześniej były wymienione co najmniej dwa inne pliki).

Przeniesiono do kwarantanny

 

A teraz z Nokia PC Suite, textmessageeditor.exe, mimo, że wcale tego nie używałem.

 

Deinstalacja GG przebiegła bez problemów, pamiętam jednak, że był jeszcze jakiś plik z K-Lite Codeca, ale nie pamiętam jaki.

 

Jeszcze jedna nowość - Combofix wyparował z katalogu "Install", podobnie zresztą jak OTL.

Odnośnik do komentarza
"Zablokowano złośliwe oprogramowanie, Win32Rammit (Ramnit?), dwa razy w ciągu ostatnich kilkunastu minut"

 

To jest nadal to co niby było tu usuwane KLIK / KLIK / KLIK. To co było podejrzane we wcześniejszej fazie usuwania, to że te foldery infekcji same się odtwarzać zaczęły (ich pustka nie znaczy nic, mogłeś sprawdzać akurat tuż przed wytworzeniem ich zawartości). Tu mogą być zainfekowane także wykonywalne i pliki HTML. To jest znaczące, gdyż pośrednio świadczy że proces deinstalacji OpenOffice uruchamia jakiś zainfekowany plik i system wcale nie jest wyczyszczony:

 

Pojawia się, gdy chcę odinstalować Open Office'a skutecznie mi to blokując.

 

Z katalogu Open Office/program/dbghelp.dll (przy wcześniejszych próbach deinstalacji wcześniej były wymienione co najmniej dwa inne pliki).

Przeniesiono do kwarantanny

 

1. Wykonaj pełny skan przez Kaspersky Virus Removal Tool i przedstaw wyniki.

2. Po wykonaniu skanu podaj od nowa tworzone wszystkie logi, włącznie z GMER.

 

 

 

.

Odnośnik do komentarza

Trwało to wieki, ale się udało (chyba) - http://wklej.org/id/404177/

Problemów niestety chyba mnóstwo, na czele z Nimnul.A...czymkolwiek by to nie było.

 

Nowy OTL - http://wklej.org/id/404180/

Nowy Extras - http://wklej.org/id/404181/

 

Resztę zrobię rano, dajcie tylko znać, czy mogę czymś zastąpić Gmera, bo ostatnim razem naprawdę miałem z nim problemy.

Odnośnik do komentarza

Wedle przypuszczeń: infekcja w wykonywalnych, dużo zarażonych plików programów (EXE / DLL / HTML). Ten "Nimnul" (oraz nazwy nadane zarażonym plikom HTML) to jest nazwa Kasperskiego na Ramnit. Producenci antywirusów nie trzymają się spójnej nomenklatury, ta sama infekcja może mieć kilka różnych nazw. Kaspersky odwalił kawałek roboty, ale nie jest dla mnie jasne czy to się przypadkiem nadal nie roznosi, a nie może na dysku zostać ani jeden gen tego wirusa, by robota nie poszła na marne. Wiem, że skan jest męczący i długo trwa, ale musisz go powtórzyć .... Dopiero jeśli wynik w Kasperskym zwróci zero znalezionych, będę w stanie założyć, że infekcja została ucięta. Dodatkowa uwaga: programy które przestały działać po leczeniu, muszą zostać wyrzucone z dysku / nadpisane (jeśli czegoś nie da się odinstalować, to nałóż metodą "nakładki" z nowo pobranego instalatora).

 

Resztę zrobię rano, dajcie tylko znać, czy mogę czymś zastąpić Gmera, bo ostatnim razem naprawdę miałem z nim problemy.

 

W przyklejonym masz przecież wyraźnie napisane jaki program podaje się w zamian (Root Repeal).

 

PS. Do usunięcia tu są także składniki programu wątpliwej reputacji STOPzilla! oraz drobne sprzątanie śladów w OTL. Ale to nie jest teraz takie ważne, na końcu to przeprowadzimy, jeśli zniknie podstawowy problem z wirusem.

 

.

Odnośnik do komentarza

Log po skanie RootRepealem - http://wklej.org/id/404250/

Scan Kasperskym w trakcie przeprowadzania...

 

Edit: Scan Kaspersky'ego stanął na 45% i ani myśli iść dalej, plik nazywa się router login.url, czas biegnie dalej, ale nic się nie zmienia w skanowaniu. Spróbuję jeszcze raz...

 

Edit2: Za drugim razem się udało i chyba poszło na czysto - http://wklej.org/id/404315/

 

I na koniec serii jeszcze raz podstawowe logi:

 

OTL - http://wklej.org/id/404320/

Extras - http://wklej.org/id/404322/

 

Udało się odinstalować Open Office...

Odnośnik do komentarza

Skoro skan Kasperskym zwraca zero znalezionych, to mogę założyć, że problem infekcji jest rozwiązany. Oczywiście sprawa reinstalacji programów zachowujących się dziwnie nadal aktualna, o ile są jeszcze jakieś dewiacje. Możemy przejść do końcowego sprzątania:

 

 

1. Była infekcja w plikach DLL. W OTL figurują takie braki:

 

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\COMMON~1\System\OLEDB~1\MSDAIPP.DLL File not found

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\COMMON~1\System\OLEDB~1\MSDAIPP.DLL File not found

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\COMMON~1\System\OLEDB~1\MSDAIPP.DLL File not found

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\COMMON~1\System\OLEDB~1\MSDAIPP.DLL File not found

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\COMMON~1\System\OLEDB~1\MSDAIPP.DLL File not found

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\COMMON~1\System\OLEDB~1\MSDAIPP.DLL File not found

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\PROGRA~1\COMMON~1\System\OLEDB~1\MSDAIPP.DLL File not found

 

W pierwszym logu to było pokazane jako niesygnowane przez Microsoft (plik już musiał być zainfekowany). Teraz jest całkowity brak pliku, pewnie któryś skaner to usuwał. Plik ode mnie, wyekstraktowany z SP2: KLIK. Wstaw sobie do katalogu C:\Program Files\Common Files\System\Ole DB.

 

2. Drobne korekty w OTL, usunięcie zapisów "not found" i szczątków po STOPZilla. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [{B10BFC3D-2D98-82F4-CA38-9D2436A5EC67}] C:\Documents and Settings\Stingerowski\Dane aplikacji\Ipycze\rayfa.exe File not found
O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found
[2010-05-27 20:33:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\19Rgeit2iTqrf7M2Ql65
[2010-05-27 19:58:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\t01x97GIiTqrf7M2Q
[2010-10-19 21:55:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Stingerowski\Dane aplikacji\Fayk
[2010-10-17 22:23:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Stingerowski\Dane aplikacji\Esquuk
[2010-10-17 22:35:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Stingerowski\Dane aplikacji\Weso
[2010-10-17 23:01:24 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\SITEguard
[2010-10-17 23:00:37 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\STOPzilla!
[2010-10-17 23:00:37 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\iS3
[2010-10-18 16:34:43 | 000,001,400 | ---- | C] () -- C:\WINDOWS\System32\drivers\kgpcpy.cfg
[2010-10-17 23:06:17 | 000,020,480 | -H-- | C] () -- C:\SZKGFS.dat
[2010-10-17 22:08:43 | 000,000,024 | ---- | C] () -- C:\WINDOWS\System32\complete.dat
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\ZDPNDIS5.SYS -- (ZDPNDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\STINGE~1\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\Apfiltr.sys -- (ApfiltrService)
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab" (Reg Error: Key error.)

 

Klik w Wykonaj skrypt.

 

3. Odinstaluj Kaspersky Removal Tool.

 

4. Podaj nowy log z OTL wykonany opcją Skanuj.

 

 

 

.

Odnośnik do komentarza

Plik ściągnięty i umieszczony we właściwym katalogu.

Log po "wykonaj skrypt" - http://wklej.org/id/404408/

Kaspersky odinstalowany.

OTL - http://wklej.org/id/404411/

Extras - http://wklej.org/id/404412/

 

Czy poza sprawdzeniem, które programy nie działają właściwie i zainstalowaniem wymienionych we wcześniejszym poście nowszych wersji coś jeszcze pozostało do zrobienia?

Odnośnik do komentarza

Logi już w porządku. W OTL wywołaj funkcję Sprzątanie.

 

Czy poza sprawdzeniem, które programy nie działają właściwie i zainstalowaniem wymienionych we wcześniejszym poście nowszych wersji coś jeszcze pozostało do zrobienia?

 

1. Obowiązkowe aktualizacje, zalecone już przez Landussa, do wykonania.

2. Po wszystkich operacjach z reinstalacjami / instalacjami wyczyść sobie jeszcze lokalizacje tymczasowe przez TFC - Temp Cleaner oraz wykonaj reset statusu folderów Przywracania systemu (KLIK).

 

I to byłoby na tyle, o ile nie notujesz dodatkowych problemów.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...