Rootkity cbbw88s.exe et3ypes.exe

[deredas]

Witam wszystkich forumowiczów na początek.

 

Mam problem z wirusami, które według Avasta (wersja 4.8 Home Edition) są wewnątrz pamięci operacyjnej. Po każdorazowym uruchomieniu komputera Avast zgłasza informację, że wykryta podejrzany plik http://img822.imageshack.us/f/wirus.jpg/ Do wczoraj wykrywał plik o nazwie cbbw88s.exe. Dziś już niestety zamiast informacji o podejrzanym pliku o nazwie cbbw88s.exe pojawiła się informacja, że wykryto podejrzany plik o nazwie et3ypes.exe http://img135.imageshack.us/f/wirus3.jpg/ Avast oferuje usunięcie pliku oraz przesłanie go do laboratorium celem analizy. Gdy usuwam podejrzany plik natychmiast pojawia się taki komunikat od Avasta: http://img203.imageshack.us/f/wirus2.jpg/ Kilka razy godziłem się aby komputer został zrestartowany i przed uruchomieniem na nowo systemu operacyjnego rozpoczęto skanowanie wszystkich dysków twardych. W momencie takiego skanowania Avast wykrywa wirusy i oferuje mi możliwość ich usunięcie poprzez wciśnięcie klawisza '2'. Niestety mimo iż wirusy są teoretycznie usunięte przez Avasta przed startem systemu to zaraz po starcie systemu na nowo pojawia się informacja, że Avast wykrył podejrzany plik o nazwie et3ypes.exe http://img135.imageshack.us/f/wirus3.jpg/ i oferuje usunięcie pliku oraz przesłanie go do laboratorium celem analizy, a więc zabawa zaczyna się od nowa.

 

Jako, że jestem nowym użytkownikiem tego forum przed założeniem tematu starałem się zapoznać ze zwyczajami oraz koniecznymi informacjami potrzebnymi do unieszkodliwienia wirusów. W tym celu wykonałem skan w wyniku którego dostałem OTL.txt oraz Extras.txt oraz drugi skan w wyniku którego otrzymałem GMER.txt

 

W momencie wykonywania skanowania Avast wykrywał TYLKO JEDEN podejrzany plik o nazwie cbbw88s.exe natomiast w tej chwili Avast wykrywa plik o nazwie et3ypes.exe natomiast nie informuje już mnie o cbbw88s.exe

 

Proszę o szybką pomoc co powinienem zrobić gdyś boję się o utratę danych.

 

Pozdrawiam.

OTL.Txt

gmer.txt

Extras.Txt

[Landuss]

Masz infekcją z urządzenia przenośnego - pendrive, karta pamięci aparatu, telefonu itp. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport. Wtedy przystąpimy do usuwania.

[deredas]

Masz infekcją z urządzenia przenośnego - pendrive, karta pamięci aparatu, telefonu itp. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport. Wtedy przystąpimy do usuwania.

 

Dziękuję za szybką odpowiedź. Niestety nie można ściągnąć programu o nazwie USBFIX - oba linki nie działają. Czy można prosić o wskazanie innego bezpiecznego miejsca skąd mogę ściągnąć ten program ?

[picasso]

Nowa strona USBFix: KLIK.

[deredas]

Witam dziękuję za działającego linka. Program ściągnięty. Do komputera podłączyłem klucz USB firmy KINGSTON oraz kartę pamięci aparatu ( za pomocą SD CARD READER'a, tak jak to robię zawsze).

 

Oto plik wynikowy z USBfix.it

UsbFix.txt

[picasso]

Przejdźmy do usuwania (wszystkie urządzenia przenośne mają być podpięte podczas tego procesu):

 

1. Otwórz OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
autorun.inf /alldrives
bud3mkqr.exe /alldrives
cbbw88s.exe /alldrives
dwh.exe /alldrives
et3ypes.exe /alldrives
C:\WINDOWS\System32\mgking0.dll
C:\WINDOWS\System32\mgking1.dll
C:\WINDOWS\System32\mgking.exe
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"king_mg"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij proces opcją Wykonaj skrypt. Nastąpi restart, zaś po ukończeniu prac otrzymasz log.

 

2. Do oceny: log powstały z usuwania OTL, nowy z OTL opcji Skanuj oraz USBFix.

 

 

 

 

.

[deredas]

załączam wymagane logi. Czy teraz już wszystko jest ok?

11172010_182647.txt

OTL.Txt

UsbFix.txt

[picasso]

Operacja ukończona pomyślnie. Wszystko zostało usunięte. Kończymy:

 

1. Jest tu jeszcze jakieś niesprecyzowane zaplanowane zadanie, które ominęłam uprzednio:

 

[2010-11-17 18:29:26 | 000,000,312 | -HS- | M] () -- C:\WINDOWS\tasks\VMPQ.job

 

Zmontuj mały skrypt do OTL o zawartości, od razu z usuwaniem wpisów martwych:

 

:OTL
[2010-11-17 18:29:26 | 000,000,312 | -HS- | M] () -- C:\WINDOWS\tasks\VMPQ.job
O4 - Startup: C:\Documents and Settings\Prezes\Menu Start\Programy\Autostart\restart_vs.lnk = D:\Viewsonic.exe File not found
O4 - HKU\S-1-5-21-1409082233-527237240-1644491937-1003..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe File not found

 

Uruchom go. Zaś po ukończeniu roboty w OTL wywołaj opcję Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Zabezpiecz się za pomocą Panda USB Vaccine: system (Computer Vaccination) oraz każde z urządzeń zewnętrznych (USB Vaccination).

 

4. Aktualizacje oprogramowania na widoku:

 

Internet Explorer (Version = 7.0.5730.13)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java™ 6 Update 17
"{9E35B051-C7EE-47CB-BA43-9A7FFD4E61DE}" = OpenOffice.org 3.1
"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3.4 - Polish
"avast!" = avast! Antivirus
"Mozilla Firefox (3.5.10)" = Mozilla Firefox (3.5.10)
"Mozilla Thunderbird (3.0)" = Mozilla Thunderbird (3.0)

 

Komentarz poboczny: czy Stefan to ma być "zamiennik" dla Gadu? Jeśli tak, skok w temat Darmowe komunikatory, a znajdziesz lepsze zastępstwa.

 

 

 

.

[deredas]

Ad1.

Skrypt uruchomiony. Następnie uruchomiłem opcje "Sprzątanie". Komputer się zrestartował jednak już żadnej informacji (np. w postaci logu końcowego) o zakończeniu tego zadania nie dostałem. W załącznikach natomiast dodaje log potwierdzający usunięcie 3 plików.

 

Ad2.

Zrobiłem zgodnie z instrukcją.

 

Ad3.

Zabezpieczyłem się ( w tym również kartę pamięci z aparatu)

 

Ad4.

Zaktualizowałem sobie po kolei te rzeczy. Poza IE, bo korzystam z FF.

 

Pytanie poboczne:

Stefan'a używam jako komunikatora in_ter_ii_pl

 

 

Dodatkowo zamieszczam log z OTL z prośbą o sprawdzenie czy teraz już wszystko jest OK. Plik Extras.txt się nie otworzył po zakończeniu skanowania programem OTL.

11182010_120105.txt

OTL.Txt

[picasso]

Następnie uruchomiłem opcje "Sprzątanie". Komputer się zrestartował jednak już żadnej informacji (np. w postaci logu końcowego) o zakończeniu tego zadania nie dostałem.

 

Tak ma być. Sprzątanie to Sprzątanie = bezśladowe, usuwa kwarantannę i komponenty programu i nie tworzy już żadnego "loga". To oznacza także, że ja nie proszę o tworzenie kolejnych logów. Pokazane = OK.

 

Plik Extras.txt się nie otworzył po zakończeniu skanowania programem OTL.

 

Widocznie nie przestawiłeś opcji "Rejestr - Skan dodatkowy" na "Użyj filtrowania". Po użyciu OTL więcej niż raz opcja się przestawia na "Brak".

 

Poza IE, bo korzystam z FF.

 

To czy korzystasz nie ma nic do rzeczy. To komponent integrowany silnie w Windows + współdzielony między wiele różnych mechanizmów, a w stanie niełatanym naruszenie bezpieczeństwa systemu, można go wykorzystać / przeszmuglować coś brzydkiego bez ręcznej interwencji użytkownika. Nie zapominaj też, że jest wiele aplikacji zewnętrznych, które korzystają z silnika IE, mimo że pozornie na to nie wygląda (patrz: Stefan).

 

 

.

[deredas]

a w jaki sposób mogę zaktualizować IE7 ?

 

Jak wybieram Windows Update to chce mi zaktualizować wszystko co jest związane z windowsem.

 

http://img404.imageshack.us/f/aktualizacjaie.jpg/

[picasso]

a w jaki sposób mogę zaktualizować IE7 ?

 

Pobierz cały instalator: Internet Explorer 8.

[deredas]

Dziękuję za pomoc - udało się zaktualizować do IE8

 

Mam jeszcze dwa pytania. Po wyeliminowaniu tych wszystkich wirusów za każdym razem gdy włączam komputer pojawia mi się taka informacja:

http://img638.imageshack.us/i/problem20.jpg/ po naciśnięciu przycisku OK dostaję odpowiedź, że: http://img696.imageshack.us/i/problem3y.jpg/

Jak można usunąć ten komunikat na stałe tak aby przy uruchamianiu systemu więcej się nie pokazywał. Jest to denerwujące i irytujące również z tego faktu, iż dopóki nie nacisnę przycisku Cancel to nie wystartuje mi Mozilla Thunderbird.

 

 

Drugie pytanie tyczy się Panda USB Vaccine. Zawsze jak uruchamiałem system to na pasku zadań była mała ikonka Panda USB Vaccine, a teraz jej nie ma.

http://img560.imageshack.us/i/problem4.jpg/ Czy mój komputer jest nadal chroniony przed tymi wirusami, które uruchamiają się po włożeniu pendrive'a i uruchomieniu autorun.inf mimo iż na pasku zadań nie ma tej ikonki od Panda USB Vaccine ?

[picasso]

Po wyeliminowaniu tych wszystkich wirusów za każdym razem gdy włączam komputer pojawia mi się taka informacja

 

Błąd pochodzi od tego wpisu:

 

O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Acrobat Speed Launcher.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe ()

 

Wpis można usunąć na multum sposobów. Np. w programie Autoruns w karcie Logon go całkowicie skasuj. Błąd na starcie ustąpi. Ogólnie zaś wystąpienie tego błędu sugeruje uszkodzenie danych instalacyjnych Adobe Acrobat Pro 7.0. Spróbuj go normalnie odinstalować. Jeśli nie będzie się dało, skorzystaj z Windows Installer Cleanup do usunięcia danych instalacyjnych Adobe.

 

Drugie pytanie tyczy się Panda USB Vaccine. Zawsze jak uruchamiałem system to na pasku zadań była mała ikonka Panda USB Vaccine, a teraz jej nie ma.

 

Ikonka Panda w zasobniku jest tylko wtedy, gdy podczas instalacji Panda wybrano opcję rezydenta (oraz nie zaznaczono opcji ukrywania ikony):

 

 

Ten rezydent ma zapobiegać próbom tworzenia obiektów o nazwie "autorun.inf" oraz wykonywać automatyczne szczepienie każdego USB (o ile tak skonfigurowano). Rezydent nie jest konieczny do ochrony. Użyta w Pandzie opcja Computer Vaccination (czyli edycja rejestru) jest stała i nawet po usunięciu Pandy działa. Jeśli chcesz przywrócić strażnika / widoczność ikony, wystarczy ponownie pobrać instalator Panda i zaptaszkować podczas instalacji opcję.

 

 

 

.

[deredas]

1. Wpis usunięty i teraz już jest ok. Przy okazji odinstalowałem tego Adoba.

2. Zainstalowałem USB Vaccine. Tuż po instalacji na pasku zadań pojawiła się ta ikonka, ale już przy uruchamianiu systemu ikonka już jest niewidoczna na tym pasku zadań.

Chyba nie ma sensu drążyć tematu dlaczego nie ma tej ikonki. Najważniejsze, że komputer jest chroniony przed atakami z użyciem autorun.inf

 

Dziękuję za pomoc. Bardzo mi pomogłaś

[picasso]

Tuż po instalacji na pasku zadań pojawiła się ta ikonka, ale już przy uruchamianiu systemu ikonka już jest niewidoczna na tym pasku zadań.

 

Jeśli nie zaznaczyłeś opcji "Hide tray icon...", to jest to dziwne. Ikony nie ma, ale czy w Menedżerze zadań widzisz proces o nazwie USBVaccine.exe?

[deredas]

Nie zaznaczyłem opcji "Hide icon". W menadżerze zadań niestety ale nie ma tego USBVaccine.exe

 

Poniżej zrzut ekranu:

 

[picasso]

Nie widzę przyczyny dla której zanika ikona Pandy. Panda startuje poprzez Harmonogram zadań i może tu jest coś nie w porządku.

 

1. Start > Uruchom > services.msc i sprawdź status usługi Harmonogram zadań. Usługa powinna mieć Typ startu Automatyczny i mieć stan Zastartowana.

 

2. Panel sterowania > Zaplanowane zadania i upewnij się, że jest tam zadanie Pandy o nazwie PandaUSBVaccine, którego Właściwości wyglądają następująco (zadanie włączone i zaplanowane na logowanie):

 

 

 

 

.

[deredas]

Niestety przez ten harmonogram zadań się nie udało. Ale zrobiłem skrót do programu USBVaccine.exe w takiej lokalizacji:

C:\Documents and Settings\Prezes\Menu Start\Programy\Autostart i w polu element docelowy dopisałem do ścieżki programu słowa "/resident /agreelicense" i zadziałało.

Teraz już po każdym uruchomieniu systemu na pasku zadań mam ikonkę od USBVaccine.exe. Dziekuję bardzo za pomoc

 

 

http://img222.imageshack.us/i/menzadan.jpg/

http://img189.imageshack.us/i/blad1u.jpg/

http://img98.imageshack.us/i/harmonogramzadan1.jpg/

[picasso]

Niestety przez ten harmonogram zadań się nie udało.

 

To należy to naprawić, bo widzę po błędzie, że to problem ogólny i nie dotyczy tylko Pandy. Wszystko co posługuje się Harmonogramem padnie na tym samym. Problemem jest to, że Twoje konto nie ma hasła: KLIK. Nałóż hasło, zreinstaluj Pandę, by dodała swój task do Harmonogramu, a swoje obejście w Autostarcie usuń. To tylko wizualnie jest podobne, metoda ładowania jest inna.

[deredas]

Jak ustawię hasło do konta to wszystko działa. Jednak zależy mi na tym aby konto nie miało hasła.

 

Zrobiłem tak:

1. Ustawiłem hasło

2. Dodałem zaplanowane zdarzenia

3. Usunąłem hasło

 

Po wykonaniu kroku 1 i 2 USBVaccine.exe uruchamiało się po włączeniu komputera.

 

Po wykonaniu kroku 3 USBVaccine.exe nie uruchamia się po włączeniu komputera. Najprawdopodobniej z powodu braku hasła przypisanego do konta czyli to o czym mówiłaś.

 

 

Czy jest jakaś możliwość aby te programy uruchamiały się za pomocą "zaplanowanych zdarzeń", ale bez konieczności posiadania hasła do konta ?

[picasso]

Jak ustawię hasło do konta to wszystko działa. Jednak zależy mi na tym aby konto nie miało hasła.

 

Jaki powód, że nie chcesz mieć hasła? Jeśli pijesz do tego, że konto przestaje się automatycznie logować i trzeba wpisywać hasło, to przecież da się skonfigurować tak, by było hasło a Windows logował konto bez pytania o nie.

 

Czy jest jakaś możliwość aby te programy uruchamiały się za pomocą "zaplanowanych zdarzeń", ale bez konieczności posiadania hasła do konta ?

 

Owszem, jest taka edycja.

 

1. Start > Uruchom > gpedit.msc

 

Konfiguracja komputera > Ustawienia Windows > Ustawienia zabezpieczeń > Zasady lokalne > Opcje zabezpieczeń > "Konta: ogranicz używanie pustych haseł przez konto lokalne tylko do logowania do konsoli" przestawione na Wyłączone.

 

2. Odpowiednikiem tego jest edycja rejestru w kluczu:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

 

Wartość limitblankpassworduse przestawiona z 1 na 0. Do wykonania także za pomocą skryptu KLIK (linia nr 67)

 

Posiadasz XP Pro, możesz to wykonać w wygodny sposób przy udziale punktu 1. Dla XP Home nie posiadającego gpedit.msc aplikuje się punkt 2.

 

 

 

 

.

[deredas]

Jaki powód, że nie chcesz mieć hasła? Jeśli pijesz do tego, że konto przestaje się automatycznie logować i trzeba wpisywać hasło, to przecież da się skonfigurować tak, by było hasło a Windows logował konto bez pytania o nie.

 

Tak - oto właśnie mi chodzi. Zwykle jak wstaję to włączam kompa i idę się myć. Nie muszę nigdy czekać aż się wszystko uruchomi. A jak skonfigurować to ustawienie aby Windows nie żądał podania hasła podczas logowania ?

 

Próbowałem to zrobić tak:

1. Start->uruchom->control userpasswords2

2. Odznaczyłem opcję " Aby używać tego komputera użytkpwnik musi podać nazwę użytkownika i hasło"

 

Niestety podczas ponownego uruchomienia systemu musiałem wpisać to hasło.

 

 

Gdy włożyłem dziś kartę SD od aparatu do SD card reader'a to zauważyłem obecność na karcie tych samych wirusów. Czy jeśli na zabezpieczonej karcie SD poprzez oprogramowanie Pandy USBVaccine pojawi sie plik o nazwie AUTORUN_.INF to jest możliwość że zostanie on automatycznie wykonany ?

 

 

autorun.inf - utworzony przez Panda USBVaccine.exe. Po kliknięciu i próbie otworzenia pojawia się komunikat Odmowa dostępu czyli tak jak być powinno.

[picasso]

Gdy włożyłem dziś kartę SD od aparatu do SD card reader'a to zauważyłem obecność na karcie tych samych wirusów. Czy jeśli na zabezpieczonej karcie SD poprzez oprogramowanie Pandy USBVaccine pojawi sie plik o nazwie AUTORUN_.INF to jest możliwość że zostanie on automatycznie wykonany ?

 

Nie, plik infekcji zmieniony przez Pandę na AUTORUN_.INF już się automatycznie nie wykona. Wystarczy, że ręcznie przez SHIFT+DEL skasujesz z karty ten plik + et3ypes.exe.

 

Tak - oto właśnie mi chodzi. Zwykle jak wstaję to włączam kompa i idę się myć. Nie muszę nigdy czekać aż się wszystko uruchomi. A jak skonfigurować to ustawienie aby Windows nie żądał podania hasła podczas logowania ?

 

Próbowałem to zrobić tak:

1. Start->uruchom->control userpasswords2

2. Odznaczyłem opcję " Aby używać tego komputera użytkpwnik musi podać nazwę użytkownika i hasło"

 

Niestety podczas ponownego uruchomienia systemu musiałem wpisać to hasło.

 

O to mi właśnie chodziło: control userpasswords2. Czy prawidłowo wypełniłeś pola z hasłami podczas wpisywania danych w tym dialogu? Możesz jeszcze spróbować TweakUI: KLIK.

 

 

 

.

[deredas]

Ok udało się. Jak odznaczałem opcję " Aby używać tego komputera użytkpwnik musi podać nazwę użytkownika i hasło" to miałem zaznaczone konto Administrator a nie swoje czyli Prezes. Teraz już wszystko jest OK. Dziękuję Ci bardzo za pomoc

Edytowane 30 Grudnia 2010 przez picasso
Temat rozwiązany. Zamykam. //picasso